Un solo script comprometido puede robar datos durante semanas, permaneciendo oculto de las herramientas de seguridad tradicionales
CSPs, Rastreadores y agentes JS fueron construidos para amenazas estáticas. Los ataques modernos evaden estos enfoques con código dinámico.
PCI DSS 4.0.1 requiere monitoreo del lado del cliente. GDPR penaliza a las empresas por fugas de datos de scripts maliciosos o mal configurados.
Selecciona el modo que mejor se adapte a tus necesidades de seguridad y requisitos técnicos.
Me importa la seguridad del lado del cliente y necesito algo que sea fácil de explicar al resto del equipo.
Verificamos comportamientos de scripts en el navegador y obtenemos los scripts de nuestro lado. No nos colocamos en el camino de un script a menos que nos lo pidas explícitamente.
Operating Model: Permitir que el script se sirva directamente para scripts en los que confío, los scripts en los que no confío obtienen el tratamiento de seguridad completo.
Soy un objetivo de alto valor y necesito control de seguridad completo.
Verificamos comportamientos de scripts y cside se coloca en el medio entre el tercero no controlado y el usuario final - solo scripts que no nos dijiste que no nos coloquemos en el medio.
Operating Model: Todos los scripts pasan por cside excepto algunos.
No tengo la capacidad de agregar un script al sitio web.
Inteligencia de amenazas de cside recopilada por miles de otros sitios web con miles de millones de visitantes combinados.
Operating Model: Escaneo estático impulsado por inteligencia de amenazas de nuestra red.
A diferencia de los sistemas operativos modernos, los navegadores no tienen soporte nativo para proveedores de seguridad de terceros. CSP y SRI solo cubren parte del problema, así que tuvimos que ser creativos. La mayoría de las detecciones del lado del cliente usando JavaScript en el navegador son fáciles de hacer ingeniería inversa y eludir. Desafortunadamente, las detecciones del lado del cliente demasiado estrictas podrían romper algunas bibliotecas del lado del cliente. Lo que esencialmente hace un script de seguridad del lado del cliente es envolver APIs que pueden ser utilizadas por malos actores y monitorear qué scripts las usan. El problema es que no todos los scripts funcionan bien con eso. Por esa razón, hemos tomado un enfoque mucho más elaborado para los usuarios más conscientes de la seguridad. Al combinar las detecciones en el navegador con detecciones en nuestro propio motor usando nuestro motor de control de acceso propietario, creamos un escenario equilibrado del mejor de todos los mundos. Equilibrando capacidad de detección con facilidad de uso con resistencia y, en última instancia, dando al cliente la capacidad de elegir el enfoque.
Nuestro enfoque ofrece ventajas que las herramientas tradicionales no pueden igualar. Combinamos sesiones de usuarios reales con análisis de scripts impulsado por IA para obtener una vista completa del comportamiento de los scripts.
| Función | cside | Soluciones Tradicionales |
|---|---|---|
| Monitoreo de Usuarios Reales | Ve comportamiento real de usuarios y ejecución de scripts en producción | Los rastreadores solo ven versiones sanitizadas de scripts |
| Detección de Ataques Dirigidos | Captura ataques dirigidos a segmentos específicos de usuarios o períodos de tiempo | Pierde ataques entre escaneos periódicos |
| Seguridad y Análisis de Scripts | Monitorea cargas útiles de scripts reales y comportamiento en tiempo real, asegurando integridad de scripts | Solo verifica fuentes de scripts, no lo que hacen |
| Riesgo de Terceros | Detecta cuando proveedores confiables están comprometidos | Asume que las fuentes confiables siempre son seguras |
| Scripts Dinámicos | Maneja código generado dinámicamente y ofuscado | Control limitado sobre ejecución dinámica de scripts |
| Prevención de Ataques | Analiza scripts del lado del servidor donde los atacantes no pueden interferir | Análisis del lado del cliente vulnerable a manipulación |
| Seguimiento Histórico | Pista de auditoría completa del comportamiento de scripts a lo largo del tiempo | Seguimiento histórico de scripts limitado o inexistente |
| A Prueba de Futuro | Se adapta a nuevas técnicas de ataque automáticamente | Requiere actualizaciones para detectar nuevas amenazas |
FAQ
Preguntas Frecuentes
La seguridad del lado del cliente protege a los usuarios de amenazas que ocurren directamente en su navegador mientras visitan sitios web, particularmente de scripts de terceros maliciosos y dependencias. Estos scripts pueden robar detalles de tarjetas de crédito, información personal, tokens de sesión y causar violaciones de cumplimiento importantes sin tu conocimiento. A diferencia de los ataques del lado del servidor que atacan tu infraestructura, los ataques del lado del cliente ocurren en tiempo real dentro de los navegadores de los usuarios, haciéndolos invisibles para herramientas de seguridad tradicionales como firewalls y sistemas de monitoreo de servidores.
Los scripts de terceros son archivos JavaScript de fuentes externas que los sitios web usan para funcionalidad, análisis, publicidad y mejoras de experiencia del usuario. Aunque estos scripts mejoran el rendimiento del sitio web, incluso un script malicioso puede permitir a los atacantes robar detalles de tarjetas de crédito (ataques Magecart), robar credenciales de inicio de sesión e información personal, inyectar redirecciones maliciosas y secuestrar sesiones de usuarios. El riesgo es que estos scripts se ejecutan con privilegios completos del sitio web, dándoles acceso a todo lo que los usuarios ven e ingresan en tus páginas.
Los atacantes comprometen scripts de terceros a través de ataques a la cadena de suministro, tomando control de dominios CDN, o inyectando código malicioso en scripts legítimos. Luego pueden robar datos de pago en tiempo real, redirigir usuarios a sitios maliciosos, capturar entradas de formularios y contraseñas, o inyectar formularios de pago falsos. Muchos ataques son sofisticados y condicionales, atacando solo usuarios específicos o activándose en ciertos momentos para evitar detección por herramientas de seguridad que solo realizan escaneos periódicos.
Dos ejemplos notables incluyen el ataque Magecart a British Airways en 2018, donde scripts de terceros comprometidos robaron detalles de tarjetas de crédito de más de 380,000 clientes, resultando en multas que inicialmente superaron los $200 millones. Más recientemente, el secuestro de Polyfill.js en 2024 vio a los atacantes tomar el control de un dominio CDN ampliamente usado, redirigiendo usuarios en más de 100,000 sitios web a sitios para adultos y de apuestas. Estos ataques demuestran cómo un script comprometido puede impactar a millones de usuarios en miles de sitios web simultáneamente.
Las herramientas de seguridad tradicionales como firewalls, monitoreo de servidores y protección de endpoints se enfocan en amenazas del lado del servidor y tráfico de red. Los ataques del lado del cliente se ejecutan completamente dentro de los navegadores de los usuarios después de que se carga la página, haciéndolos invisibles para estas medidas de seguridad convencionales. Además, muchos ataques del lado del cliente son condicionales y sofisticados, solo atacando usuarios específicos o activándose bajo ciertas condiciones, lo que significa que pueden operar sin detección durante períodos extendidos mientras afectan a usuarios reales.
En sitios web financieros, los scripts de terceros maliciosos pueden robar credenciales de inicio de sesión, información personal como SSNs y direcciones, números de cuenta, datos de transacciones y detalles de pago. Logran esto interceptando envíos de formularios, capturando pulsaciones de teclas, accediendo al almacenamiento del navegador, manipulando páginas para crear formularios falsos y evitando medidas de seguridad. Estos scripts operan con privilegios completos del sitio web, haciéndolos increíblemente peligrosos para cualquier sitio que maneje información financiera sensible.
Según Visa, el 70% de todo el robo de tarjetas de crédito ahora ocurre del lado del cliente, haciendo de este uno de los vectores de ataque más peligrosos que enfrentan las organizaciones hoy. Esta estadística resalta por qué las medidas de seguridad tradicionales del lado del servidor son insuficientes y por qué las empresas necesitan soluciones de seguridad del lado del cliente dedicadas. El cambio hacia ataques del lado del cliente refleja cómo los atacantes se han adaptado para eludir las herramientas de seguridad convencionales atacando directamente el entorno del navegador.
Hazte esta pregunta crítica: ¿Pueden tus herramientas de seguridad mostrar exactamente qué datos recopila cada script de terceros, y pueden detectar una carga útil maliciosa que se activa solo para 1 de cada 1,000 visitantes u objetiva solo el 5% de usuarios después de las 5 p.m.? El 99% de las empresas responde NO a esta pregunta. Si tus herramientas de seguridad solo realizan escaneos periódicos o no pueden analizar cargas útiles de scripts reales en tiempo real, eres vulnerable a ataques sofisticados y condicionales del lado del cliente.
