Descubierto un skimmer de pagos que utiliza WebRTC para evadir controles y exfiltrar datos

Introducción

La aparición de nuevas técnicas para comprometer la seguridad de las transacciones online no cesa, y el sector de la ciberseguridad se enfrenta a amenazas cada vez más sofisticadas. Un reciente informe de la firma Sansec ha revelado la detección de un skimmer de pagos que emplea canales de datos WebRTC para cargar su payload y exfiltrar datos sensibles, logrando saltarse los controles tradicionales de seguridad perimetral y de red. Este hallazgo supone un cambio de paradigma en el uso de tecnologías web legítimas para fines maliciosos, especialmente en el ámbito del fraude en e-commerce.

Contexto del Incidente

El uso de skimmers de tarjetas en sitios web de comercio electrónico es una táctica habitual en los ataques Magecart y similares, donde los actores de amenaza inyectan código malicioso para interceptar datos de pago introducidos por los usuarios. Tradicionalmente, la exfiltración de la información robada se realizaba mediante peticiones HTTP, cargas de imágenes (beacons) o websockets, métodos que pueden ser detectados por sistemas de monitorización de tráfico y reglas de firewall. Sin embargo, el caso recientemente documentado por Sansec destaca por la utilización de WebRTC, una API estándar en navegadores modernos para comunicaciones en tiempo real, como vector de canal encubierto para la transferencia de información sensible.

Detalles Técnicos

El componente malicioso aprovecha la API de WebRTC, concretamente los canales de datos (RTCDataChannel), para establecer una comunicación peer-to-peer con el servidor de comando y control (C2) de los atacantes. Al emplear WebRTC, el malware evita el uso de peticiones HTTP o mecanismos visibles en los logs de acceso, evadiendo así reglas IDS/IPS y herramientas de inspección profunda de paquetes (DPI).

Este método se materializa en la inyección de un script JavaScript ofuscado en la página de pago, que inicializa una conexión WebRTC y negocia un canal de datos con el servidor remoto. La transferencia del payload adicional, así como la exfiltración de los datos de tarjeta y credenciales, se realiza íntegramente por este canal, dificultando la monitorización por parte de soluciones tradicionales. El ataque está alineado con técnicas MITRE ATT&CK como T1041 (Exfiltration Over C2 Channel) y T1090 (Proxy), y presenta indicadores de compromiso poco convencionales: ausencia de logs HTTP sospechosos y presencia de negociaciones ICE/STUN/TURN inusuales.

Hasta el momento, se han observado variantes del skimmer orientadas a plataformas Magento y WooCommerce, afectando principalmente a versiones no actualizadas o con plugins vulnerables. No se han divulgado CVEs específicos asociados, aunque la explotación se produce habitualmente a través de vulnerabilidades conocidas en componentes de terceros.

Impacto y Riesgos

El impacto de esta técnica es significativo, ya que permite a los atacantes evadir soluciones de seguridad basadas en el análisis del tráfico HTTP/HTTPS y de logs de servidor. Según Sansec, este método incrementa entre un 40% y un 60% la tasa de evasión respecto a los skimmers convencionales. La exfiltración de datos de tarjetas de crédito, nombres de titulares y direcciones puede derivar en fraudes económicos, pérdidas reputacionales y sanciones regulatorias bajo marcos como el GDPR o la Directiva NIS2.

Además, la dificultad para detectar el uso de WebRTC como canal de exfiltración incrementa el tiempo medio de permanencia del atacante (dwell time), elevando el riesgo de brechas masivas y exposición prolongada.

Medidas de Mitigación y Recomendaciones

Para mitigar esta amenaza, se recomienda:

– Deshabilitar WebRTC en entornos donde no sea estrictamente necesario, utilizando políticas de Content Security Policy (CSP) y configuraciones específicas en navegadores.
– Monitorizar los patrones de tráfico ICE/STUN/TURN, identificando conexiones WebRTC inesperadas desde páginas de checkout.
– Realizar análisis de integridad periódicos sobre el código JavaScript y los recursos servidos en producción.
– Mantener actualizados todos los componentes del stack e-commerce y minimizar el uso de plugins de terceros.
– Implementar soluciones EDR/NDR con capacidad de detección de canales de comunicación alternativos.
– Formar al equipo de seguridad en análisis de amenazas emergentes y evasión avanzada.

Opinión de Expertos

Especialistas en ciberinteligencia como Matthieu Faou (ESET) y David Barroso (CounterCraft) advierten que el uso de APIs legítimas como WebRTC para actividades maliciosas es una tendencia al alza. “Los atacantes aprovechan la complejidad y legitimidad de WebRTC para camuflar sus acciones, dificultando la respuesta de los equipos SOC”, señala Barroso. Por su parte, Faou incide en la necesidad de actualizar los procedimientos de threat hunting y ampliar el perímetro de vigilancia a tecnologías habitualmente consideradas seguras.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar sus políticas de seguridad en aplicaciones web, prestando especial atención a la exposición de APIs como WebRTC. La ausencia de mecanismos de detección para este tipo de canales puede dejar a las organizaciones en situación de indefensión frente a ataques avanzados. Para los usuarios, el riesgo reside en la posible filtración de datos sensibles sin señales evidentes de compromiso, lo que subraya la importancia de la vigilancia activa por parte de los operadores de e-commerce.

Conclusiones

La utilización de WebRTC como canal encubierto para la exfiltración de datos de pago marca un nuevo hito en la evolución de los ataques Magecart y similares. Este enfoque desafía los controles de seguridad tradicionales y exige una actualización de las estrategias de defensa, tanto a nivel técnico como de formación y concienciación. La monitorización proactiva, la restricción de APIs innecesarias y el análisis avanzado de amenazas se consolidan como elementos clave para mitigar el impacto de estas técnicas emergentes.

(Fuente: feeds.feedburner.com)