### Nueva campaña de web skimming compromete grandes redes de pago desde enero de 2022

#### Introducción

En los últimos días, investigadores en ciberseguridad han sacado a la luz una campaña de web skimming de gran envergadura que, desde enero de 2022, ha estado afectando a múltiples redes de pago internacionales de alto perfil, incluyendo American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard y UnionPay. Este ataque continuado pone en jaque a organizaciones empresariales que dependen de estos proveedores de servicios de pago, exponiéndolas a riesgos significativos de fraude financiero y robo de datos sensibles.

#### Contexto del Incidente o Vulnerabilidad

El web skimming, también conocido como Magecart, es una técnica de ataque orientada a la interceptación de datos de tarjetas de pago en plataformas de comercio electrónico y puntos de venta online. La campaña identificada por el equipo de Silent Push destaca por su alcance y persistencia, ya que ha permanecido operativa durante más de dos años sin ser neutralizada completamente. A diferencia de incidentes previos más focalizados, esta operación ha apuntado directamente a clientes empresariales de los principales sistemas de tarjetas, aumentando la superficie de ataque e incrementando el potencial de impacto económico y reputacional.

#### Detalles Técnicos

La campaña utiliza scripts maliciosos inyectados en sitios web de comercio electrónico y aplicaciones de pago. Estos scripts, escritos principalmente en JavaScript ofuscado, interceptan los datos introducidos por los usuarios en formularios de pago y los exfiltran a servidores de control bajo dominio de los atacantes. Según el informe de Silent Push, los atacantes han empleado técnicas avanzadas de evasión, incluyendo el uso de cadenas de dominios rotativos, cifrado ligero de datos antes de la exfiltración y cargas útiles polimórficas para eludir la detección por parte de soluciones de seguridad tradicionales.

El análisis de TTPs (Tácticas, Técnicas y Procedimientos) sugiere la correspondencia con MITRE ATT&CK:

– **T1505.003 (Compromiso de recursos web: Scripts de lado cliente)**
– **T1071.001 (Transferencia de datos sobre protocolos de aplicación web)**
– **T1140 (Desofuscación/Desempaquetado de código)**
– **T1027 (Ofuscación de código)**

Se han identificado varios IoCs (Indicadores de Compromiso), incluyendo URLs de exfiltración y hashes de scripts maliciosos. Algunos de los dominios utilizados para la exfiltración ya han sido reportados y bloqueados, aunque los atacantes continúan rotando infraestructuras, dificultando la respuesta efectiva.

No se ha divulgado aún un CVE específico, ya que la campaña explota malas prácticas de seguridad en el desarrollo web (p.ej., cargas de scripts de terceros sin SRI, falta de validación de integridad y actualizaciones insuficientes).

En cuanto a herramientas empleadas, existen evidencias de uso de frameworks de explotación como Metasploit para la fase de reconocimiento y despliegue inicial, aunque la fase de explotación y persistencia recae sobre desarrollos específicos del grupo atacante.

#### Impacto y Riesgos

El principal riesgo reside en el robo de datos de tarjetas de crédito y débito, que pueden ser utilizados para fraude financiero, venta en mercados clandestinos o para ataques de ingeniería social dirigidos. Silent Push estima que el 12% de los comercios electrónicos que emplean pasarelas de pago de los proveedores afectados han sido comprometidos en algún momento desde el inicio de la campaña. Las pérdidas económicas derivadas del fraude asociado se cifran, de forma conservadora, en decenas de millones de euros a nivel global.

Además del impacto financiero directo, las organizaciones afectadas se enfrentan a sanciones regulatorias bajo marcos como el GDPR y la inminente NIS2, que amplía los requisitos de notificación de incidentes y protección de infraestructuras críticas. La falta de respuesta puede suponer multas de hasta el 4% de la facturación anual, además de daños reputacionales difíciles de cuantificar.

#### Medidas de Mitigación y Recomendaciones

Entre las medidas urgentes recomendadas destacan:

– Auditoría y revisión exhaustiva de todos los scripts de terceros y recursos cargados en los sitios web.
– Implementación de Content Security Policy (CSP) restrictivas, junto con Subresource Integrity (SRI) en scripts externos.
– Monitorización continua de integridad de archivos y análisis de tráfico de red para identificar patrones anómalos asociados a exfiltración de datos.
– Aplicación de parches y actualizaciones periódicas en plataformas de comercio electrónico (Magento, WooCommerce, Shopify, etc.).
– Segmentación de redes y limitación de privilegios para minimizar el movimiento lateral en caso de compromiso.
– Formación específica para equipos de desarrollo y operaciones en seguridad de aplicaciones web.

#### Opinión de Expertos

Especialistas en ciberseguridad como el CISO de una entidad bancaria europea consultado por Silent Push, advierten: “El web skimming ha evolucionado hacia ataques altamente dirigidos y persistentes. Las empresas deben asumir que su perímetro tradicional no es suficiente y adoptar un enfoque Zero Trust en la gestión de recursos web”.

Asimismo, analistas SOC remarcan la importancia de correlacionar eventos de acceso a formularios de pago con alertas de tráfico anómalo saliente, e insisten en la integración de soluciones de threat intelligence que permitan identificar y bloquear IoCs en tiempo real.

#### Implicaciones para Empresas y Usuarios

Las empresas que operan plataformas de pago digital deben revisar sus políticas de seguridad y elevar el nivel de protección de sus aplicaciones web. El cumplimiento normativo no es solo una obligación legal, sino una necesidad para proteger la continuidad del negocio y la confianza del cliente.

Para los usuarios finales, la recomendación pasa por extremar la precaución al introducir datos en plataformas de pago, verificar la autenticidad de los sitios y utilizar mecanismos de autenticación fuerte y monitorización de movimientos bancarios.

#### Conclusiones

La sofisticación y alcance de esta campaña de web skimming subraya la necesidad de adoptar un enfoque proactivo y multidisciplinar en la defensa de los ecosistemas de pago digital. La colaboración entre equipos técnicos, departamentos legales y proveedores de threat intelligence será clave para mitigar el impacto de futuras amenazas y cumplir con los crecientes requisitos regulatorios que impone el mercado.

(Fuente: feeds.feedburner.com)