**Nueva campaña Magecart abusa de la infraestructura de Stripe para robar tarjetas y evadir detección**

—

### 1. Introducción

En las últimas semanas, se ha detectado una sofisticada campaña de Magecart que aprovecha la infraestructura legítima de Stripe, uno de los principales proveedores de servicios de pago global, para alojar y exfiltrar datos de tarjetas de crédito robados en sitios de comercio electrónico. Este nuevo vector no solo incrementa la tasa de éxito de los atacantes, sino que también dificulta drásticamente la detección y mitigación por parte de equipos de seguridad, ya que el tráfico malicioso se camufla entre las comunicaciones legítimas con Stripe.

—

### 2. Contexto del Incidente o Vulnerabilidad

Magecart es un término genérico para designar a distintos grupos de cibercriminales que, desde 2015, han perfeccionado técnicas de skimming digital mediante la inyección de JavaScript malicioso en sitios de comercio electrónico. Tradicionalmente, estos scripts maliciosos exfiltran los datos de pago a dominios controlados por los atacantes. Sin embargo, en esta campaña, los operadores han dado un paso más allá: utilizan la propia API de Stripe, tanto para alojar el payload como para canalizar los datos robados, aprovechando la confianza intrínseca de los sistemas de seguridad en los servicios de Stripe.

—

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

**Vectores de ataque y TTPs:**
El ataque comienza con la inyección de código JavaScript malicioso en la página de checkout de tiendas online vulnerables. Las técnicas de acceso inicial identificadas corresponden a la técnica T1190 (Exploit Public-Facing Application) de MITRE ATT&CK, habitualmente tras el compromiso de plugins desactualizados, credenciales expuestas o vulnerabilidades zero-day no parcheadas.

**Payload y exfiltración:**
El script malicioso se aloja en recursos de Stripe mediante el abuso de endpoints legítimos de la API, dificultando la identificación por soluciones de seguridad perimetrales y WAF. El skimmer intercepta los datos introducidos en los formularios de pago (nombres, números de tarjeta, CVV, etc.) y los envía, cifrados o ofuscados, a recursos bajo el dominio “stripe.com”, donde los actores de Magecart los recuperan posteriormente.

**Indicadores de Compromiso (IoC):**
– Actividad inusual en logs de Stripe API.
– Llamadas POST/GET a endpoints de Stripe no habituales en la lógica legítima del comercio.
– Carga de scripts externos referenciando recursos de Stripe en contextos no estándar.

**Herramientas y frameworks:**
Hasta la fecha, no se ha detectado el uso de frameworks de explotación automatizada como Metasploit o Cobalt Strike en la fase inicial, aunque sí se han identificado técnicas avanzadas de ofuscación y polimorfismo en los scripts Magecart.

—

### 4. Impacto y Riesgos

El uso de la infraestructura de Stripe como canal de comando y control (C2) representa un cambio significativo de paradigma.
– **Evasión de detección:** Al camuflar la exfiltración en conexiones TLS legítimas a Stripe, la mayoría de soluciones de IDS/IPS y sistemas de monitorización basados en listas blancas pueden ser burlados.
– **Compromiso de datos:** Se estima que en las primeras semanas de la campaña más de 1.000 tiendas online, principalmente en Europa y Norteamérica, han sido afectadas, con potenciales filtraciones de decenas de miles de datos de tarjetas.
– **Cumplimiento normativo:** Las empresas afectadas se exponen a severas sanciones bajo el RGPD (Reglamento General de Protección de Datos) y la directiva NIS2 por notificación tardía de brechas y fallos en la protección de datos sensibles.

—

### 5. Medidas de Mitigación y Recomendaciones

– **Auditoría de integridad:** Revisar regularmente la integridad de los scripts JavaScript presentes en los flujos de pago mediante hashes y SRI (Subresource Integrity).
– **Monitorización de tráfico:** Implementar reglas de detección para identificar patrones anómalos en el uso de la API de Stripe y analizar logs de acceso.
– **Actualización y hardening:** Mantener actualizados todos los plugins, CMS y componentes de la tienda online. Aplicar principios de hardening y reducir superficie de ataque.
– **Content Security Policy (CSP):** Configurar cabeceras CSP restrictivas para limitar la ejecución de scripts externos.
– **Revisión contractual con proveedores:** Exigir revisiones periódicas de seguridad a proveedores de servicios de pago y terceros integrados.

—

### 6. Opinión de Expertos

Analistas del sector, como Troy Hunt y miembros de la comunidad OWASP, destacan el aumento de ataques Magecart que explotan infraestructuras de confianza para evadir controles. “El abuso de servicios como Stripe supone una alerta roja para los equipos de seguridad: ya no basta con bloquear dominios sospechosos, es necesario entender el contexto de cada petición legítima”, explica un responsable de Threat Intelligence de una gran consultora europea.

—

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la necesidad de revisar no solo la seguridad propia, sino la de todos los servicios integrados en sus plataformas. La confianza ciega en proveedores externos puede desembocar en vulnerabilidades graves y sanciones millonarias. Para los usuarios, el riesgo de robo de datos personales y financieros se incrementa, por lo que resulta crucial monitorizar extractos bancarios y utilizar tarjetas virtuales en compras online.

—

### 8. Conclusiones

La campaña Magecart que aprovecha la infraestructura de Stripe marca un nuevo hito en las técnicas de evasión y exfiltración de datos en el ámbito del e-commerce. La complejidad y sofisticación de estos ataques exige a los profesionales de la ciberseguridad adoptar enfoques proactivos, controles multicapa y una revisión constante de la cadena de suministro digital. Solo mediante una vigilancia continua y la colaboración entre empresas y proveedores será posible mitigar el creciente riesgo de skimming digital avanzado.

(Fuente: www.bleepingcomputer.com)