Ciberseguridad

Más de 20 tiendas online hackeadas

  • Descubren un nuevo método de web skimming que utiliza cuentas oficiales de Google Analytics.

Los delincuentes introducen código ilícito en la web atacada para robar datos. Los delincuentes introducen código ilícito en la web atacada para robar datos.

Los delincuentes introducen código ilícito en la web atacada para robar datos.

Los investigadores de Kaspersky han descubierto una nueva técnica utilizada para robar los datos de pago de los usuarios en las tiendas online mediante web skimming. Al registrarse en las cuentas de Google Analytics e introducir el código de seguimiento en el código fuente de las páginas web, los ciberdelincuentes obtienen los datos de las tarjetas de crédito de los clientes. Más de 20 tiendas online de todo el mundo se han visto afectadas por esta práctica. El web skimming es un método utilizado habitualmente por los ciberdelincuentes para robar los datos de las tarjetas de crédito de los consumidores en las propias páginas web de las tiendas online, mediante el cual los atacantes introducen fragmentos de código en su código fuente.

Este código fraudulento recoge los datos introducidos por los usuarios que visitan la página web (es decir, los números de acceso a las cuentas de pago o a las tarjetas de crédito) y envía los detalles recogidos a la dirección especificada por los ciberdelincuentes en el código falso. Con frecuencia, con el objetivo de ocultar que la página web ha sido vulnerada, los atacantes registran dominios con nombres que se asemejan a los servicios de análisis web más conocidos, como Google Analytics. De esta forma, cuando introducen el código falso, al administrador de la página le resulta más difícil saber que ha sido comprometida.

Sin embargo, los investigadores han descubierto recientemente una técnica desconocida hasta ahora para realizar ataques de web skimming. En lugar de redirigir los datos a otras fuentes, los reconducen a cuentas oficiales de Google Analytics. Una vez que los atacantes registran sus cuentas en Google Analytics, solo tienen que configurar los parámetros de seguimiento de las cuentas para recibir una identificación de rastreo. A continuación, introducen el código fraudulento junto con la identificación de seguimiento en el código fuente de la página web, lo que les permite recoger datos sobre los usuarios y enviarlos directamente a sus cuentas de Google Analytics. Como los datos no se dirigen a un recurso desconocido, es complicado que los administradores se den cuenta de que la página ha sido atacada. En el caso de aquellos que examinan el código fuente, es como si la página estuviera conectada a una cuenta oficial de Google Analytics, una costumbre habitual en las tiendas online. Para que esta actividad delictiva sea más difícil de detectar, los ciberdelincuentes emplean también una técnica común de lucha contra la depuración: en caso de que el administrador de la página web revise el código fuente de la misma utilizando el modo de desarrollo, el código ilícito no se ejecutará.

Más de 20 páginas web se han visto afectadas por esta técnica, incluyendo tiendas en Europa y América del Norte y del Sur.