2200 scripts de terceros. Esa es la media que Cloudflare observa en un solo dominio corporativo.
La mayoría de las empresas puede nombrar quizá cinco. Google Analytics, claro. Puede que el widget de chat. La pasarela de pago. A partir de ahí, la cosa se vuelve difusa. Pero cada uno de esos scripts se ejecuta en el navegador de su cliente con los mismos permisos que su propio código. Pueden leer formularios. Pueden enviar datos a cualquier parte. Y su servidor nunca lo ve, porque su servidor solo sabe lo que ocurre en el servidor.
Qué aspecto tiene una vulneración silenciosa
Los ataques de tipo Magecart funcionan de la misma manera desde hace años. Un atacante no necesita entrar en su sitio. Le basta con comprometer una librería de la que depende alguno de sus scripts de terceros (una dependencia del widget de chat, un SDK de analítica, un módulo del formulario de pago). Añade unas pocas líneas de JavaScript que copian en silencio los datos del formulario de pago a un servidor externo.
Sin caídas. Sin páginas de error. El cliente paga con normalidad. La única diferencia es que ahora alguien más tiene su número de tarjeta y su CVV.
El mismo principio se aplica al robo de credenciales (scripts modificados que leen los formularios de inicio de sesión), al secuestro de sesión (session hijacking), a la redirección de visitantes concretos a páginas de phishing, o incluso al cryptojacking, donde el navegador del visitante mina criptomonedas. El sitio va más lento, pero «funciona».
En todos estos casos el sitio parece estar bien. Se entera por un informe de fraude de su banco. O no se entera en absoluto.
Lo que Cloudflare acaba de abrir
El 30 de marzo de 2026, Cloudflare puso su función Advanced Client-Side Security a disposición de todos los clientes. Hasta entonces estaba reservada a los planes enterprise. Ahora puede activarla cualquiera que tenga un dominio detrás de Cloudflare.
Su sistema analiza a diario 3500 millones de scripts JavaScript mediante una combinación de redes neuronales de grafos (GNN) y grandes modelos de lenguaje (LLM). La GNN mapea las relaciones entre scripts y detecta anomalías de comportamiento. La capa LLM evalúa después si una alerta es una amenaza real o un falso positivo.
Esa segunda capa es lo verdaderamente interesante. Redujo los falsos positivos 200 veces frente a los métodos anteriores, del 0,3 % al 0,1 % en general, y del 1,39 % al 0,007 % en scripts únicos. Esa es la diferencia entre una herramienta que da la voz de alarma sin parar y otra que de verdad puede dejar activada.
Las herramientas de detección arrastran el mismo problema desde hace años. Demasiadas alertas falsas, así que los equipos dejan de leerlas y acaban por desactivarlas. Si las cifras de Cloudflare se sostienen en producción (y con una muestra diaria de 3500 millones, el conjunto de datos es lo bastante grande como para ser significativo), esto cambia el cálculo de coste-beneficio de la monitorización del lado del cliente.
Lo básico que la mayoría de los sitios sigue saltándose
Incluso sin Cloudflare, hay dos cosas que deberían estar presentes en cualquier sitio que gestione inicios de sesión o pagos:
Content Security Policy (CSP), una cabecera HTTP que le indica al navegador qué dominios pueden servir scripts. Si un script se carga desde un origen no autorizado, el navegador lo bloquea. El problema es que la mayoría de los sitios no tienen ninguna CSP. Y los que la tienen suelen usar unsafe-inline o unsafe-eval, lo que echa por tierra su propósito. Además, una CSP no se configura y se olvida, cada nuevo widget, cada cambio en la analítica, cada integración de pago la modifica.
Subresource Integrity (SRI), un hash que se añade a las etiquetas de script externas. Si el contenido del script cambia (por ejemplo, tras una vulneración del CDN), el navegador se niega a ejecutarlo. Sencillo y eficaz para dependencias estáticas.
Empiece por abrir las DevTools de su navegador, ir a la pestaña Network y contar cuántos dominios externos contacta su sitio. Ese número suele ser más alto de lo que nadie espera.
Para el panorama más amplio de la ciberseguridad, hemos escrito sobre cómo la IA está cambiando los ataques de phishing y deepfake y sobre las campañas de phishing que actualmente tienen en el punto de mira a las empresas eslovacas. En el plano de la infraestructura, la seguridad de los pipelines CI/CD es una preocupación relacionada.
Si su sitio ejecuta scripts de terceros, y lo hace, vale la pena saber qué están haciendo. Podemos hacer una revisión de seguridad y configurar la CSP correctamente.