• Una investigación que analizó 4.700 sitios web líderes revela que el 64% de las aplicaciones de terceros ahora acceden a datos confidenciales sin justificación empresarial, frente al 51% registrado en 2024.
  • La actividad maliciosa del sector gubernamental aumentó del 2% al 12,9%, mientras que 1 de cada 7 sitios educativos muestra un compromiso activo.
  • Infractores específicos: Google Tag Manager (8% de las infracciones), Shopify (5%), Facebook Pixel (4%).

Descargue el análisis completo de 43 páginas →

L; SECAR

En la investigación de 2026 surge una desconexión crítica: si bien el 81% de los líderes de seguridad consideran que los ataques web son una de las principales prioridades, solo el 39% ha implementado soluciones para detener la hemorragia.

La investigación del año pasado encontró un 51% de acceso injustificado. Este año es del 64%, y se está acelerando hacia la infraestructura pública.

¿Qué es la exposición web?

Gartner acuñó el término «gestión de la exposición web» para describir los riesgos de seguridad de las aplicaciones de terceros: análisis, píxeles de marketing, CDN y herramientas de pago. Cada conexión amplía la superficie de ataque; el compromiso de un solo proveedor puede provocar una violación masiva de datos al inyectar código para recopilar credenciales o robar pagos.

Este riesgo se ve impulsado por una brecha de gobernanza, en la que los equipos digitales o de marketing implementan aplicaciones sin la supervisión de TI. El resultado es una mala configuración crónica, en la que las aplicaciones con permisos excesivos tienen acceso a campos de datos confidenciales que no necesitan desde el punto de vista funcional.

Esta investigación analiza exactamente qué datos tocan estas aplicaciones de terceros y si tienen una justificación empresarial legítima.

Metodología

Durante 12 meses (hasta noviembre de 2025), Reflectiz analizó 4.700 sitios web líderes utilizando su propiedad Clasificación de exposición sistema. Analiza la enorme cantidad de puntos de datos que recopila al escanear millones de sitios web teniendo en cuenta cada factor de riesgo en su contexto, los suma para crear un nivel global de riesgo y lo expresa con una simple calificación, de la A a la F. Los resultados se complementaron con una encuesta realizada a más de 120 líderes de seguridad de los sectores de la salud, las finanzas y el comercio minorista.

La crisis de acceso injustificada

El informe destaca una creciente brecha de gobernanza denominada «acceso injustificado»: casos en los que las herramientas de terceros tienen acceso a datos confidenciales sin una necesidad empresarial demostrable.

El acceso se marca cuando un script de terceros cumple alguno de estos criterios:

  • Función irrelevante: Leer datos innecesarios para su tarea (por ejemplo, un chatbot que accede a los campos de pago).
  • Presencia sin retorno de la inversión: Permanecer activo en páginas de alto riesgo a pesar de haber estado sin transmisión de datos durante más de 90 días.
  • Despliegue en la sombra: Inyección mediante administradores de etiquetas sin supervisión de seguridad ni determinación del alcance del «mínimo privilegio».
  • Exceso de permisos: Utilizar el «acceso completo al DOM» para raspar páginas enteras en lugar de elementos restringidos.

«Las organizaciones conceden acceso a los datos confidenciales de forma predeterminada y no de forma excepcional». Esta tendencia es más aguda en el sector del entretenimiento y el comercio minorista en línea, donde las presiones de marketing suelen prevalecer sobre las revisiones de seguridad.

El estudio identifica las herramientas específicas que impulsan esta exposición:

  • Administrador de etiquetas de Google: Representa el 8% de todos los accesos injustificados a datos confidenciales.
  • Shopify: 5% de acceso injustificado.
  • Píxel de Facebook: En el 4% de las implementaciones analizadas, se descubrió que el píxel tenía permisos excesivos, por lo que capturaba campos de entrada sensibles que no eran necesarios para el seguimiento funcional.

Esta brecha de gobernabilidad no es teórica. Una encuesta reciente entre más de 120 responsables de la toma de decisiones en materia de seguridad del sector sanitario, financiero y minorista reveló que el 24% de las organizaciones confían únicamente en herramientas de seguridad generales, como el WAF, lo que las hace vulnerables a los riesgos específicos de terceros identificados en este estudio. Otro 34% sigue evaluando soluciones dedicadas, lo que significa que el 58% de las organizaciones carecen de las defensas adecuadas a pesar de reconocer la amenaza.

Infraestructura crítica sitiada

Si bien las estadísticas muestran picos masivos en las infracciones gubernamentales y educativas, el causa es más financiero que técnico.

  • Sector gubernamental: La actividad maliciosa aumentó del 2% al 12,9%.
  • Sector educativo: las señales de sitios comprometidos se cuadruplicaron hasta el 14,3% (1 de cada 7 sitios)
  • Sector asegurador : Por el contrario, este sector redujo la actividad maliciosa en un 60%, cayendo a solo un 1,3%.

Las instituciones con restricciones presupuestarias están perdiendo la batalla por la cadena de suministro. Los sectores privados con presupuestos de mejor gobernanza están estabilizando sus entornos.

Los encuestados confirmaron esto: el 34% mencionó las restricciones presupuestarias como su principal obstáculo, mientras que el 31% señaló la falta de mano de obra, una combinación que afecta especialmente a las instituciones públicas.

La brecha entre la conciencia y la acción

Los resultados de la encuesta de líderes de seguridad revelan la disfunción organizacional:

  • El 81% considera que los ataques web son una prioridad → Solo el 39% implementó soluciones
  • El 61% sigue evaluando o utilizando herramientas inadecuadas → A pesar del aumento del acceso injustificado del 51% → 64%
  • Obstáculos principales: Presupuesto (34%), regulación (32%), dotación de personal (31%)

Resultado: La conciencia sin acción crea vulnerabilidad a gran escala. La brecha de 42 puntos explica por qué el acceso injustificado crece un 25% año tras año.

El factor del departamento de marketing

Un factor clave de este riesgo es la «huella de marketing». La investigación reveló que los departamentos de marketing y digital representan ahora el 43% de toda la exposición al riesgo de terceros, en comparación con solo el 19% creado por el departamento de TI.

El informe reveló que el 47% de las aplicaciones que se ejecutan en marcos de pago carecen de justificación empresarial. Los equipos de marketing suelen implementar herramientas de conversión en estos entornos delicados sin darse cuenta de las implicaciones.

Los equipos de seguridad reconocen esta amenaza: en la encuesta a profesionales, el 20% de los encuestados clasificó ataques a la cadena de suministro y las vulnerabilidades de los scripts de terceros figuran entre sus tres principales preocupaciones. Sin embargo, la estructura organizativa que evitaría estos riesgos (la supervisión unificada de las implementaciones de terceros) sigue sin existir en la mayoría de las organizaciones.

Cómo una brecha de píxeles podría eclipsar a Polyfill.io

Con una ubicuidad del 53,2%, el píxel de Facebook es un único punto de falla sistémico. El riesgo no está en la herramienta, sino en los permisos no gestionados: el «acceso total al DOM» y la «correspondencia automática avanzada» transforman los píxeles de marketing en imágenes de datos no intencionadas.

El precedente: Un compromiso sería 5 veces mayor que el Ataque a Polyfill.io de 2024 , exponiendo datos de la mitad de la web principal de forma simultánea. Polyfill afectó a 100 000 sitios en semanas; la ubicuidad del 53,2% de Facebook Pixel significa que más de 2,5 millones de sitios se ven comprometidos al instante.

La solución: Despliegue sensible al contexto. Restrinja los píxeles de las páginas de destino para obtener un retorno de la inversión, pero bloquee estrictamente el acceso a los marcos de pago y credenciales cuando no tengan una justificación empresarial.

¿Qué pasa con los píxeles de TikTok y otros rastreadores? Descarga el informe completo para obtener más información >>

Indicadores técnicos de compromiso

Por primera vez, esta investigación identifica las señales técnicas que predicen sitios comprometidos.

Los sitios comprometidos no siempre utilizan aplicaciones malintencionadas, sino que se caracterizan por tener configuraciones «más ruidosas».

Criterios de detección automatizados:

  • Dominios registrados recientemente: Los dominios registrados en los últimos 6 meses aparecen 3,8 veces más a menudo en los sitios comprometidos.
  • Conexiones externas: Los sitios comprometidos se conectan a 2,7 veces más dominios externos (100 frente a 36).
  • Contenido mixto: El 63% de los sitios comprometidos combinan los protocolos HTTPS/HTTP.

Puntos de referencia para líderes de seguridad

Entre los 4.700 sitios analizados, 429 demostraron buenos resultados de seguridad. Estas organizaciones demuestran que la funcionalidad y la seguridad pueden coexistir:

  • ticketweb.uk: El único sitio que cumple con los 8 puntos de referencia (Grado A+)
  • GitHub, PayPal, Universidad de Yale: Cumplimiento de 7 puntos de referencia (grado A)

Los 8 puntos de referencia de seguridad: líderes frente a la media

Los puntos de referencia siguientes representan objetivos alcanzables basados en el desempeño en el mundo real, no en ideales teóricos. Los líderes mantienen menos de 8 aplicaciones de terceros, mientras que las organizaciones promedio tienen dificultades con entre 15 y 25. La diferencia no son los recursos, sino la gobernanza. Así es como se comparan en las ocho métricas:

Tres victorias rápidas para priorizar

1. Rastreadores de auditoría

Haz un inventario de cada píxel/rastreador:

  • Identifique al propietario y la justificación empresarial
  • Elimine las herramientas que no pueden justificar el acceso a los datos

Correcciones prioritarias:

  • Facebook Pixel: deshabilita la «coincidencia avanzada automática» en las páginas de PII
  • Google Tag Manager: verifica que no haya acceso a la página de pago
  • Shopify: Revisa los permisos de la aplicación

2. Implemente el monitoreo automatizado

Implemente la supervisión del tiempo de ejecución para:

  • Detección de acceso confidencial sobre el terreno (tarjetas, números de seguro social, credenciales)
  • Alertas en tiempo real para la recolección no autorizada
  • Seguimiento de infracciones de CSP

3. Aborde la brecha entre marketing y TI

Revisión conjunta de CISO y CMO:

  • Herramientas de marketing en marcos de pago
  • Alcance de los píxeles de Facebook (usa listas de permisión/exclusión)
  • El ROI de Tracker frente al riesgo de seguridad

Descargar el informe completo

Obtenga el análisis completo de 43 páginas, que incluye:

Desglose de riesgos sector por sector

Lista completa de aplicaciones de terceros de alto riesgo

Análisis de tendencias año tras año

Mejores prácticas de los líderes de seguridad

DESCARGA EL INFORME COMPLETO AQUÍ

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.