El e-skimming representa una amenaza para las compras en línea desde hace mucho tiempo y va creciendo al mismo ritmo que el comercio electrónico. La actual crisis mundial y el consiguiente aumento de las compras en línea brinda a los piratas informáticos otra gran oportunidad para lanzar este tipo de ataques. Este infame delito cibernético se centra en recopilar o «leer» los detalles de pago de las tarjetas de los clientes, durante el proceso de compra, en distintos sistemas online.

A diferencia de los ciberataques más tradicionales, en los que, por ejemplo, toda una base de datos de clientes puede ser atacada de una sola vez, el skimming intercepta continuamente los detalles de pago de los clientes, en el momento de la compra, haciéndolos más difíciles de detectar y, a menudo invisibles, tanto para los clientes como para los comercios.

Existen varios grupos criminales que se han convertido en expertos en este tipo de ataque en los últimos años. El más destacado y exitoso es el conocido como Magecart, un término general que engloba un conjunto de sofisticados grupos criminales que utilizan malware y técnicas similares para robar información de tarjetas de crédito que se utilizan en el comercio online.

Se sabe que el grupo Magecart lleva activo desde 2016 y que está detrás de algunos de los mayores ataques a sistemas de pago de los últimos años, incluidos los de British Airways (2018), Newegg Electronics (2018), la tienda de artículos para fans de Atlanta Hawks Shop (2019), las suscripciones a la revista Forbes (2019) y los sitios web de reventa de entradas para los Juegos Olímpicos 2020 y el torneo de fútbol, Euro 2020 de la UEFA. Dichos ataques le valieron a Magecart un puesto en la lista 2018 de la revista Wired de «personas más peligrosas de internet».

Cómo funciona

En la mayoría de los ataques de skimming, el atacante introduce código adicional a la aplicación de comercio electrónico de una tienda. Ataques recientes del grupo Magecart lo han logrado, comprometiendo el software de terceras partes de confianza (como un repositorio de código externo, un chatbot o un proveedor de publicidad), cuyo código se incluye legítimamente en la aplicación.

Hasta ahora, los investigadores han identificado más de 40 exploits de inyección de código diferentes, a veces incluso de tan solo 20 caracteres, que pueden ser difíciles de detectar a menos que el código de la aplicación se examine, línea por línea, para detectar cambios.

Los atacantes también han incorporado el uso de certificados SSL válidos, vinculados a los dominios que entregan código malicioso, lo que hace que el tráfico parezca legítimo, y evita que los clientes reciban advertencias de contenido mixto, cuando el sitio web intenta mezclar contenido del sitio cifrado de confianza con contenido malicioso sin cifrar.

Un informe reciente también ha descrito ataques de Magecart a los controles de acceso mal configurados en los buckets de Amazon S3, que permitieron a los atacantes agregar su código skimmer a los archivos de código de aplicación JavaScript ya existentes.

Defenderse del skimming

La mejor ciberdefensa proactiva que una organización puede implementar para defenderse de los ataques de skimming se centra en blindar la pila de aplicaciones de comercio electrónico y limitar qué código se permite ejecutar.

  • Utiliza un recurso de análisis en línea gratuito, para ayudarte a detectar conexiones sospechosas, abiertas mediante scripts inyectados en la aplicación. Las herramientas de desarrollo del navegador también se pueden utilizar para analizar contenidos y detectar conexiones sospechosas, realizadas durante la sesión de un cliente.
  • Usa la opción de «Bloquear el acceso público» de Amazon en cualquier bucket S3 en uso por la organización, para evitar cambios no autorizados en los archivos de la aplicación.
  • Define una política de seguridad de contenido (CSP, por sus siglas en inglés) que especifique una lista de ubicaciones desde donde se pueden cargar recursos en tu sitio web. Esto debe aplicarse a todas las páginas sensibles, como las páginas de pago, las páginas de inicio de sesión y otras áreas donde los usuarios puedan introducir información confidencial.
  • Comprueba las secuencias de comandos externas, como las de socios publicitarios, utilizando Subresource Integrity (SRI). Esto asegurará que los scripts de fuentes externas se resuman y comparen con un valor bueno conocido para garantizar que sean los archivos que esperas cargar. De lo contrario, el navegador bloqueará su carga.
  • Asegúrate de que todos los activos de las páginas sensibles utilicen SRI. El uso de la directriz «require-sri-for» en la CSP para aplicar SRI en todos los scripts y etiquetas de estilo evitará que se incluyan activos en estas páginas sin SRI habilitado.

 

La actividad de Magecart y otros enemigos similares demuestran que esta es una amenaza persistente y resiliente. La naturaleza lucrativa de los ataques de skimming nos asegura que continuarán evolucionando, tanto en  su encubrimiento como en capacidad de respuesta a las precauciones de seguridad que tomemos. Sin embargo, para muchos de los ataques que hemos visto de estos grupos hasta la fecha, si se hubieran implementado las medidas descritas anteriormente, se hubieran evitado algunas infracciones que han resultado ser tan bochornosas como costosas.

Mantente al día de las últimas novedades en el ámbito del ransomware con el Informe mensual sobre inteligencia de amenazas de DXC.