El estudio, que analizó 4.700 sitios web importantes, encontró que el 64% de las aplicaciones de terceros ahora acceden a datos confidenciales sin una razón comercial legítima, frente al 51% en 2024. La actividad maliciosa en el sector gubernamental saltó del 2% al 12,9%, y 1 de cada 7 sitios educativos mostró un compromiso activo. Infractores específicos: Google Tag Manager (8% de las infracciones), Shopify (5%), Facebook Pixel (4%).
Descargue el análisis completo de 43 páginas →
TL;DR
El estudio de 2026 reveló una desconexión significativa. Si bien el 81% de los líderes de seguridad hacen de los ataques web una máxima prioridad, sólo el 39% cuenta con soluciones para detener el sangrado.
La encuesta del año pasado encontró que el 51% de los sitios web tenían acceso no autorizado. Este año es del 64% y su adopción en infraestructura pública se está acelerando.
¿Qué es la exposición web?
Gartner acuñó el término «Gestión de exposición web» para describir los riesgos de seguridad que plantean las aplicaciones de terceros, como análisis, píxeles de marketing, CDN y herramientas de pago. Cada conexión amplía la superficie de ataque. Una vulneración de un solo proveedor podría dar lugar a una vulneración masiva de datos al inyectar código que recopile credenciales o desvíe pagos.
Este riesgo se ve alimentado por brechas de gobernanza donde los equipos digitales y de marketing implementan aplicaciones sin supervisión de TI. El resultado son configuraciones erróneas crónicas que permiten que aplicaciones con permisos excesivos accedan a campos de datos confidenciales que no son funcionalmente necesarios.
Este estudio analiza exactamente a qué datos acceden estas aplicaciones de terceros y si tienen una justificación comercial legítima.
metodología
Reflectiz analizó 4700 sitios web importantes durante un período de 12 meses (hasta noviembre de 2025) utilizando un sistema de calificación de exposición patentado. Analizamos millones de puntos de datos recopilados al escanear millones de sitios web, teniendo en cuenta cada factor de riesgo en contexto, y los resumimos para crear un nivel de riesgo general, expresado como una calificación simple de la A a la F. Los hallazgos se complementaron con una encuesta realizada a más de 120 líderes de seguridad en las industrias de atención médica, finanzas y comercio minorista.
Riesgo de acceso no autorizado
El informe destaca una brecha de gobernanza cada vez mayor conocida como «acceso indebido». Este es un ejemplo de herramientas de terceros a las que se les da acceso a datos confidenciales sin una necesidad comercial clara.
El acceso se marca si un script de terceros cumple cualquiera de los siguientes criterios:
Funcionalidad extraña: leer datos que no son necesarios para la tarea (por ejemplo, el chatbot accede a los campos de pago). Presencia de retorno de la inversión cero: permanece activo en páginas de alto riesgo a pesar de no haber enviado datos durante más de 90 días. Implementación en la sombra: inyección a través del administrador de etiquetas sin monitoreo de seguridad o alcance de «privilegios mínimos». Privilegios excesivos: aproveche el “acceso DOM completo” para eliminar páginas enteras en lugar de elementos restringidos.
«Las organizaciones permiten el acceso a datos confidenciales de forma predeterminada, no por excepción». Esta tendencia es más evidente en el entretenimiento y el comercio minorista en línea, donde las presiones de marketing a menudo priorizan las revisiones de seguridad.
Este estudio identifica herramientas específicas que facilitan esta exposición.
Google Tag Manager: representa el 8% de todos los accesos no autorizados a datos confidenciales. Shopify: El acceso no autorizado es del 5%. Píxel de Facebook: en el 4% de las implementaciones analizadas, se encontró que el píxel era demasiado permisivo y capturaba campos de entrada sensibles que no eran necesarios para el seguimiento de funciones.
Esta brecha de gobernanza no es teórica. Una encuesta reciente realizada a más de 120 tomadores de decisiones de seguridad en las industrias de atención médica, financiera y minorista encontró que el 24% de las organizaciones dependen únicamente de herramientas de seguridad comunes como los WAF, lo que las deja vulnerables a los riesgos específicos de terceros identificados en la encuesta. Otro 34% todavía está evaluando soluciones dedicadas. Esto significa que el 58% de las organizaciones son conscientes de la amenaza pero carecen de las defensas adecuadas.
Infraestructuras críticas bajo asedio
Las estadísticas muestran que ha habido un aumento significativo de las infracciones en instituciones gubernamentales y educativas, pero la causa no es técnica, sino financiera.
Sector gubernamental: la actividad maliciosa saltó del 2% al 12,9%. Sector educativo: los indicios de sitios comprometidos se cuadruplicaron hasta el 14,3 % (1 de cada 7 sitios). Sector de seguros: por el contrario, la actividad maliciosa en este sector disminuyó un 60 % hasta solo el 1,3 %.
Las instituciones con presupuesto limitado están perdiendo la batalla de la cadena de suministro. El sector privado con presupuestos de mejor gobernanza está estabilizando el entorno.
Los encuestados lo confirmaron. El 34% citó las limitaciones presupuestarias como el principal obstáculo y el 31% citó la falta de personal. Estas combinaciones están afectando especialmente a las instituciones públicas.
Brecha entre conciencia y acción
Los hallazgos de los líderes de seguridad revelan una disfunción organizacional.
El 81 % hace de los ataques web una prioridad → Sólo el 39 % cuenta con soluciones implementadas. El 61 % todavía evalúa o utiliza herramientas inapropiadas → el 51 % a pesar de → el 64 % ve un aumento en el acceso no autorizado. Mayores obstáculos: presupuesto (34 %), regulación (32 %), dotación de personal (31 %)
Consecuencias: La toma de conciencia sin acción crea una vulnerabilidad masiva. La diferencia de 42 puntos explica el aumento interanual del 25% en el acceso no autorizado.
Factores del departamento de marketing.
El principal impulsor de este riesgo es la «huella de marketing». El estudio encontró que los departamentos de marketing y digitales generan actualmente el 43% de la exposición total a riesgos de terceros, mientras que los departamentos de TI generan solo el 19%.
El informe encontró que el 47% de las aplicaciones que se ejecutan en marcos de pago carecen de justificación comercial. Los equipos de marketing suelen introducir herramientas de conversión en estos entornos sensibles sin darse cuenta del impacto.
Los equipos de seguridad son conscientes de esta amenaza. En una encuesta a profesionales, el 20 % de los encuestados clasificaron los ataques a la cadena de suministro y las vulnerabilidades de scripts de terceros entre sus tres principales preocupaciones. Sin embargo, las estructuras organizativas para protegerse contra estos riesgos (supervisión central de implementaciones de terceros) siguen ausentes en la mayoría de las organizaciones.
Cómo la infracción de píxeles socava Polyfill.io
Facebook Pixel tiene una tasa de penetración del 53,2% y es un punto único de falla para todo el sistema. El riesgo no es una herramienta, es un privilegio no gestionado. El “Acceso DOM completo” y la “Concordancia avanzada automática” convierten su píxel de marketing en un raspador de datos no intencionado.
Precedente: La violación será cinco veces mayor que el ataque Polyfill.io en 2024, exponiendo datos a la mitad de la web principal simultáneamente. Polyfill afectó a 100.000 sitios durante varias semanas. La tasa de penetración del 53,2% de Facebook Pixel significa que más de 2,5 millones de sitios se verán comprometidos instantáneamente.
Solución: introducción del contexto. Limite los píxeles de las páginas de destino para aumentar el ROI, pero bloquéelos estrictamente de los marcos de pago o de credenciales si carecen de justificación comercial.
¿Qué pasa con el píxel de TikTok y otros rastreadores? Para obtener más información, descargue el informe completo >>
Indicadores técnicos de infracción
Esta investigación identifica por primera vez señales técnicas que predicen sitios comprometidos.
Los sitios comprometidos no siempre utilizan aplicaciones maliciosas. Estos sitios se caracterizan por una configuración «ruidosa».
Criterios de detección automática:
Dominios registrados recientemente: los dominios registrados en los últimos seis meses aparecen 3,8 veces más a menudo en sitios comprometidos. Conexiones externas: los sitios comprometidos se conectan a 2,7 veces más dominios externos (100 frente a 36). Contenido mixto: el 63% de los sitios comprometidos tienen protocolos mixtos HTTPS/HTTP.
Puntos de referencia para líderes de seguridad
De los 4.700 sitios analizados, 429 sitios demostraron sólidos resultados de seguridad. Estas organizaciones están demostrando que la funcionalidad y la seguridad pueden coexistir.
ticketweb.uk: El único sitio que cumple con los 8 puntos de referencia (Grado A+) GitHub, PayPal, Universidad de Yale: Cumple con los 7 puntos de referencia (Grado A)
8 puntos de referencia de seguridad: líderes y promedios
Los puntos de referencia a continuación representan objetivos alcanzables basados en el desempeño del mundo real, en lugar de ideales teóricos. Los líderes mantienen ocho o menos aplicaciones de terceros, mientras que la organización promedio tiene entre 15 y 25. La diferencia no está en los recursos, sino en la gobernanza. Así es como se comparan las ocho métricas:
Tres victorias rápidas para priorizar
1. Seguimiento de auditoría
Inventario de todos los píxeles/rastreadores.
Identificar la propiedad y la justificación empresarial. Eliminar las herramientas que no pueden justificar el acceso a los datos.
Solución prioritaria:
Píxel de Facebook: deshabilite la «Coincidencia automática de altitud» en las páginas PII Administrador de etiquetas de Google: garantice que no haya acceso a las páginas de pago Shopify: verifique los permisos de la aplicación
2. Implementar monitoreo automático
Introduzca la siguiente supervisión del tiempo de ejecución:
Detección de acceso a campos sensibles (tarjeta, SSN, credenciales) Alertas en tiempo real sobre recolección no autorizada Seguimiento de violaciones de CSP
3. Abordar la brecha entre marketing y TI
Revisión conjunta de CISO y CMO:
Herramientas de marketing en el marco de pago Alcance de píxeles de Facebook (uso de listas de permitidos/excluidos) ROI del rastreador versus riesgo de seguridad
Descargue el informe completo
Obtenga el análisis completo de 43 páginas, que incluye:
✅ Desglose de riesgos por sector
✅ Lista completa de aplicaciones de terceros riesgosas
✅ Análisis de tendencias año tras año
✅ Mejores prácticas para líderes de seguridad
Descargue el informe completo aquí
Source link
