Este artículo analiza de forma honesta las características de Cloudflare Page Shield.
Dado que estás en el sitio web de cside, reconocemos nuestra parcialidad. Dicho esto, hemos construido nuestro caso de manera honesta y basado nuestro análisis en información públicamente disponible, información del sector y nuestras propias experiencias o las de nuestros clientes.
Algunos miembros del equipo de cside han trabajado en Cloudflare e incluso contribuyeron al desarrollo de Page Shield. Aunque somos competidores en algunas áreas, tenemos a Cloudflare en alta estima.
Si deseas verificar sus afirmaciones por ti mismo, por favor navega a sus páginas de producto.
| Criterio | cside | Cloudflare Page Shield | Por qué importa | Cuáles son las consecuencias |
|---|---|---|---|---|
| Enfoques utilizados | Gatekeeper | CSP + obtención del script después | ||
| Protección en tiempo real | Los ataques pueden ocurrir entre escaneos o en datos excluidos cuando se muestrean | Detección retrasada = filtraciones de datos activas | ||
| Análisis completo de carga útil | Garantiza visibilidad profunda de comportamientos maliciosos dentro del código del script | Las amenazas pasan desapercibidas a menos que la fuente sea conocida en un feed de amenazas | ||
| Detección dinámica de amenazas | Identifica ataques que cambian según usuario, tiempo o ubicación | Detección fallida de ataques dirigidos | ||
| Detección de amenazas a nivel DOM | Rastrea cambios en el DOM y observa cómo se comportan los scripts durante la ejecución | Incapaz de identificar ataques sofisticados basados en DOM | ||
| 100% seguimiento histórico y forense | Necesario para respuesta a incidentes, auditoría y cumplimiento | Necesario para respuesta a incidentes, auditoría y cumplimiento | ||
| Protección contra evasión | Detiene a los atacantes de evadir controles mediante ofuscación DOM o evasión | Las amenazas sigilosas continúan sin detectarse | ||
| Certeza de que el script visto por el usuario está monitoreado | Alinea el análisis con lo que realmente se ejecuta en el navegador | Brechas entre lo que se revisa y lo que realmente se ejecuta | ||
| Análisis de scripts impulsado por IA | Detecta amenazas nuevas o en evolución mediante modelado de comportamiento | Dependencia de actualizaciones manuales, feeds de amenazas o reglas = detección lenta y propensa a errores | ||
| Dashboard PCI validado por QSA | La forma más confiable de garantizar que una solución cumple con PCI es realizar una auditoría exhaustiva por un QSA independiente | Sin validación QSA, dependes completamente de afirmaciones de marketing, lo que podría resultar en reprobar una auditoría | ||
| SOC 2 Tipo II | Muestra controles de seguridad operacional consistentes a lo largo del tiempo | Carece de validación verificada de controles de seguridad, lo que lo convierte en un proveedor riesgoso | ||
| Interfaz específica para PCI | Una interfaz fácil para revisión rápida de scripts y justificación con un clic o automatización IA | Tareas tediosas e investigación manual sobre qué hacen todos los scripts, lo que toma horas o días |
¿Qué es Cloudflare Page Shield?
Cloudflare Page Shield solo compite con la solución de seguridad del lado del cliente y PCI Shield de cside. Otros servicios como detección de VPN, detección de agentes de IA y Privacy Watch no están en su alcance.
Cloudflare Page Shield es una herramienta de seguridad del lado del cliente que monitorea y analiza JavaScript de terceros que se ejecuta en los navegadores de los usuarios. Ayuda a detectar cambios maliciosos o no autorizados en scripts proporcionando alertas en tiempo real y visibilidad del comportamiento de las dependencias externas.
¿Es buena idea comprar una solución de seguridad del lado del cliente de un proveedor de firewall?
Los grandes proveedores de seguridad a veces intentan lanzar un producto secundario rápido. Hacen esto porque saben que sus compradores están comprometidos con su plataforma. La opción fácil es simplemente comprar su solución. Sin embargo, muchos usuarios notan rápidamente que estos productos no recibieron la atención que necesitaban y a menudo simplemente no funcionan o no abordan los requisitos. Los navegadores como superficie de ataque son totalmente diferentes a mirar un paquete de red como firewall.
Cómo funciona Cloudflare Page Shield
Cloudflare Page Shield utiliza un crawler que obtiene el script después de que la página se ha cargado. Si un script cambia o coincide con patrones maliciosos conocidos, Page Shield lo marcará y emitirá una alerta. Sin embargo, como el crawler obtiene scripts de forma independiente, no en el contexto de una sesión de usuario en vivo, no puede tener en cuenta cargas útiles servidas dinámicamente que varían según cookies, comportamiento del usuario, encabezados de referencia u otras condiciones de tiempo de ejecución.
Los atacantes también pueden ver las direcciones IP de Cloudflare y servir una versión no maliciosa del script. Esto no activaría su mecanismo de detección.
Page Shield no analiza cada sesión. En cambio, muestrea el tráfico para optimizar el rendimiento y reducir el consumo de recursos. Este enfoque tiene sentido desde una perspectiva de costos, pero también introduce puntos ciegos graves en el monitoreo de seguridad.
Para verificar esto, encuentra un sitio que use Page Shield, abre la consola de desarrollador de tu navegador y actualiza la página varias veces.
Page Shield depende en gran medida de Content Security Policies (CSP) para hacer cumplir la seguridad de scripts. Una CSP solo confía en fuentes de scripts pre-aprobadas, no en su contenido. Si la fuente permanece igual pero el contenido cambia, como en el mayor ataque del lado del cliente de 2024 – Polyfill – una CSP no lo detectará.
Escribimos un artículo en profundidad sobre Por qué CSP no funciona en relación a proporcionar la mejor solución de seguridad del lado del cliente:
CSP opera en un modelo de lista de permitidos, que permite recursos de dominios de confianza pero no puede bloquear scripts o recursos individuales de esos dominios.
Hasta donde sabemos, Cloudflare Page Shield sí almacena y analiza scripts. Esto significa que una vez que un script desaparece de la ventana de monitoreo, no hay forma de recuperarlo para análisis futuro y aprendizaje automático.
Finalmente, adoptar Cloudflare Page Shield requiere que seas un cliente existente de Cloudflare.
Cómo cside va más allá
cside ofrece principalmente un enfoque de proxy híbrido que se sitúa entre la sesión del usuario y el servicio de terceros. Analiza el código de dependencias servido en tiempo real antes de entregarlo al usuario.
Esto nos permite no solo detectar ataques avanzados altamente dirigidos y alertar sobre ellos, cside también hace posible bloquear ataques antes de que toquen el navegador del usuario. También cumple con múltiples frameworks de cumplimiento, incluyendo PCI DSS 4.0.1. Incluso proporcionamos análisis forense profundo, incluso si un atacante evade nuestras detecciones. Permitiéndote acotar más estrechamente el tamaño del incidente y a nosotros mejorar nuestras capacidades de detección cada día. Ningún otro proveedor tiene esta capacidad.
Creemos que esta es la forma más segura de monitorear y proteger tus dependencias en todo tu sitio web. Hemos pasado años en el espacio de seguridad del lado del cliente antes de iniciar cside, lo hemos visto todo, esta es la única forma en que realmente puedes detectar un ataque.
También ofrecemos un endpoint CSP gratuito además de nuestro producto para permitir capas de seguridad, está incluido. Con cside, básicamente obtienes lo mismo que Report-URI de forma gratuita.
Regístrate o agenda una demo para comenzar.
