El 64 % de las aplicaciones de terceros acceden a datos confidenciales sin autorización.

 

De Julio Alonso Arévalo en enero 26, 2026

Reflectiz. The State of Web Exposure 2026. 2026. Reflectiz, enero 2026. Texto completo El informe The State of Web Exposure 2026 de Reflectiz presenta un análisis exhaustivo de la exposición de datos sensibles y riesgos de seguridad en la web derivados principalmente del uso de aplicaciones de terceros y herramientas digitales integradas en sitios web. A partir del análisis de más de 4 700 sitios web de alto tráfico a nivel global, el estudio revela que el 64 % de las aplicaciones de terceros accede actualmente a datos sensibles sin una justificación de negocio válida, lo que representa un incremento significativo respecto al 51 % reportado en 2024. Esta tendencia señala una brecha de gobernanza y supervisión cada vez mayor en lo que concierne a la gestión de componentes web externos y su impacto en la seguridad de los datos. El informe destaca varios hallazgos clave que ayudan a entender cómo se distribuyen y generan estos riesgos. En primer lugar, los equipos de marketing y digitales son responsables del 43 % de las exposiciones de terceros, superando con creces el 19 % generado por los departamentos de TI, lo que sugiere que la proliferación de etiquetas, scripts y herramientas para análisis y publicidad sin la debida supervisión técnica amplía la superficie de ataque. Asimismo, el riesgo en los entornos de pago ha aumentado, con un ascenso del 10 % al 14 % de aplicaciones en marcos de pago que carecen de una justificación clara, lo que puede abrir puertas a ataques de skimming y otras amenazas orientadas a la captura de información financiera. Además de esto, sectores críticos como el gubernamental y el educativo muestran aumentos alarmantes en compromisos de seguridad: los sitios web de entidades gubernamentales con actividad maliciosa pasaron del 2 % al 12,9 %, mientras que uno de cada siete sitios del sector educativo presenta algún tipo de compromiso activo, cifra que cuadruplica la registrada el año anterior. El informe también identifica patrones técnicos asociados con sitios comprometidos, los cuales tienden a conectarse con 2,7 veces más dominios externos, cargar el doble de rastreadores y emplear dominios recientemente registrados 3,8 veces más que los sitios sin compromiso, lo que apunta a nuevos vectores de actividad maliciosa que dificultan aún más la gestión de la exposición web. Para finalizar el documento proporciona indicadores de compromiso y mejores prácticas de control para equipos de seguridad y digitales, junto con benchmarks actualizados de liderazgo en seguridad. Estos benchmarks revelan que muy pocas organizaciones cumplen con los ocho criterios de seguridad evaluados, y únicamente un sitio web analizado —ticketweb.uk— logró una puntuación perfecta en el marco evaluado. Esta carencia de madurez en la gestión de la exposición web subraya la necesidad urgente de implementar soluciones especializadas y enfoques colaborativos entre los equipos de seguridad, TI y negocio para reducir riesgos, proteger datos sensibles y atender las crecientes expectativas de cumplimiento normativo y privacidad en un paisaje digital cada vez más complejo.