Un banco aprobó un píxel de **Taboola**. Ese píxel redirigió silenciosamente a los usuarios autenticados a un punto final de rastreo de **Temu**. Esto ocurrió sin el conocimiento del banco, sin el consentimiento del usuario y sin que un solo control de seguridad registrara una violación.  ### **El Punto Ciego del "Sesgo de Primer Salto"** La mayoría de las pilas de seguridad, incluidas las WAF, los analizadores estáticos y las CSP estándar, comparten un modo de falla común: evalúan el **origen declarado** de un script, no el **destino en tiempo de ejecución** de su cadena de solicitudes. Si `sync.taboola.com` está en su lista de permitidos de la Política de Seguridad de Contenido (CSP), el navegador considera la solicitud legítima. Sin embargo, no la revalida contra el destino final de una **redirección 302**. Para cuando el navegador llega a `temu.com`, ha heredado la confianza otorgada a **Taboola**.  ### **El Rastro Forense** Durante una auditoría en febrero de 2026 de una plataforma financiera europea, **Reflectiz** identificó la siguiente cadena de redirección ejecutándose en páginas de cuentas de usuarios autenticados: 1. **Solicitud Inicial:** Una solicitud GET a `https://sync.taboola.com/sg/temurtbnative-network/1/rtb/`. 2. **La Redirección:** El servidor respondió con un **302 Found**, redirigiendo el navegador a `https://www.temu.com/api/adx/cm/pixel-taboola?...`. 3. **El Payload:** La redirección incluía la cabecera crítica `Access-Control-Allow-Credentials: true`. Esta cabecera instruye específicamente al navegador a incluir cookies en la solicitud de origen cruzado al dominio de **Temu**. Este es el mecanismo por el cual **Temu** puede leer o escribir identificadores de rastreo contra un navegador que ahora sabe que visitó una sesión bancaria autenticada.  ### **Por Qué las Herramientas Convencionales No lo Detectaron** html <table><tbody><tr><td>Herramienta</td><td>Por Qué Falla</td></tr><tr><td>WAF</td><td>Inspecciona solo el tráfico entrante; omite las redirecciones salientes del lado del navegador.</td></tr><tr><td>Análisis Estático</td><td>Ve el código de Taboola en el código fuente pero no puede predecir los destinos 302 en tiempo de ejecución.</td></tr><tr><td>Listas de Permitidos CSP</td><td>La confianza es transitiva; el navegador sigue la cadena de redirección automáticamente una vez que se aprueba el primer salto.</td></tr></tbody></table> ### **Las Consecuencias Regulatorias** Para las entidades reguladas, la ausencia de robo directo de credenciales no limita la exposición al cumplimiento. Los usuarios nunca fueron informados de que su comportamiento en la sesión bancaria se asociaría con un perfil de rastreo en poder de **PDD Holdings** — una falla de transparencia según el Artículo 13 del GDPR. El enrutamiento en sí involucra infraestructura en un país no adecuado, y sin Cláusulas Contractuales Estándar que cubran esta relación específica de cuarto proveedor, la transferencia no está respaldada según el Capítulo V del GDPR. "No sabíamos que el píxel hacía eso" no es una defensa disponible para un controlador de datos según el Artículo 24. La exposición de PCI DSS agrava esto. Una cadena de redirección que termina en un dominio de cuarto proveedor no anticipado queda fuera del alcance de cualquier revisión que solo evaluó al proveedor principal, que es precisamente lo que el Requisito 6.4.3 fue escrito para cerrar. ### **Inspeccione en Tiempo de Ejecución, No Solo Declaraciones** En este momento, la misma configuración de píxel de **Taboola** se ejecuta en miles de sitios web. La pregunta no es si ocurren cadenas de redirección como esta. Sí ocurren. La pregunta es si su pila de seguridad puede ver más allá del primer salto, o si se detiene en el dominio que aprobó y lo da por terminado. **Para los equipos de seguridad:** inspeccionen el comportamiento en tiempo de ejecución, no solo las listas de proveedores declaradas. **Para los equipos legales y de privacidad:** las cadenas de rastreo a nivel del navegador en páginas autenticadas merecen el mismo rigor que las integraciones de backend. **La amenaza entró por la puerta principal. Su CSP la dejó entrar.**