El web skimming es un tipo de ciberataque en el que se insertan secuencias de comandos malintencionados en un sitio web con pedido de robar datos de tarjetas de crédito y datos personales introducidos por los usuarios. Los formularios de pago de los sitios e-commerce suelen estar dirigidos contra los usuarios y en Japón se han denunciado numerosos incidentes en los que se ha robado información de usuarios sin su conocimiento.
El acceso no autorizado y las filtraciones de datos en sitios e-commerce han pasado a ser un importante problema de seguridad para las empresas, por lo que es esencial implantar sistemas de pago seguros.
Este artículo proporcionará un resumen accesible del desnatado web, que abarcará su funcionamiento, sus causas subyacentes, las contramedidas eficaces y los estudios de caso relevantes de Japón.
Esto es lo que encontrarás en este artículo
- ¿Qué es el web skimming?
- Cómo funciona el web skimming
- Factores de riesgo de web skimming
- Contramedidas frente al web skimming
- Ejemplos de web skimming en Japón
- Cómo puede ayudar Stripe Radar
¿Qué es el web skimming?
El web skimming es un tipo de ciberataque en el que se incrusta código malicioso en un sitio web para robar información introducida por los usuarios.
A pesar de la presencia de este código malicioso, la página de pago y los formularios de entrada del sitio web parecen ser auténticos. Como resultado, los usuarios desconocen el cambio e introducen la información de su tarjeta de crédito y sus datos personales en el sitio como de costumbre. Sin embargo, existe el riesgo de que esta información se transmita en secreto al atacante.
Incidentes de web skimming
Ha habido numerosos informes de tarjetas de crédito que se han visto comprometidas o filtradas debido al acceso no autorizado a sitios e-commerce.
En marzo de 2022, la Comisión de Protección de datos personales realizó una encuesta sobre el acceso no autorizado a sitios de e-commerce. Los resultados mostraron que, en el caso de los sitios que habían sufrido acceso no autorizado, la información de las tarjetas de crédito se filtró en el 93 % de los casos, y en el 77 % de los casos se produjo un uso fraudulento. Aproximadamente el 80 % de las empresas suspendieron temporalmente el funcionamiento de sus sitios de e-commerce como consecuencia del acceso no autorizado.
Por lo tanto, el web skimming y otros ataques cibernéticos pueden tener un impacto significativo en las operaciones de la empresa, ya que no solo pueden provocar la filtración de información del cliente, sino también la suspensión de las operaciones de e-commerce y dañar la reputación de una empresa.
Diferencias con el skimming
El «skimming» es un concepto similar al web skimming. Las principales diferencias entre el skimming y el web skimming son las siguientes:
|
Skimming |
Web skimming |
|
|---|---|---|
|
Ubicaciones vulnerables |
Cajeros automáticos y lectores de tarjetas |
Sitios web |
|
Métodos de ataque |
Los datos de la tarjeta se leen con un dispositivo especializado |
La información de entrada se roba mediante un script malicioso |
|
Objetivos frecuentes |
Datos de tarjetas con banda magnética |
Datos personales y de la tarjeta de crédito |
El skimming es un acto criminal que implica la lectura no autorizada de los datos de la banda magnética y otra información de una tarjeta de crédito. Un método común consiste en adjuntar un dispositivo a un cajero automático o lector de tarjetas para robar información de la tarjeta.
El web skimming, por otro lado, es un ataque que se lleva a cabo a través de Internet; implica integrar script o código malicioso en sitios web para robar datos introducidos por los usuarios.
Cómo funciona el web skimming
En el web skimming, el código o script malicioso integrado en el sitio web se utiliza para transmitir información introducida por los usuarios a terceros externos. Los atacantes utilizan varios métodos para comprometer los sitios web y los servicios externos, creando las condiciones necesarias para acceder a la entrada del usuario.
El procesado típico del web skimming es el siguiente:
- Un atacante manipula un sitio web o servicio externo e incrusta un script malicioso.
- Un usuario introduce los datos de su tarjeta de crédito o datos personales en un formulario de pago o similar.
- El script captura la información que se ha introducido.
- Esta información obtenida se envía al servidor del atacante.
A pesar de que el script esté integrado en el sitio, la apariencia visual del sitio permanece sin cambios; en consecuencia, los usuarios introducen su tarjeta de crédito y datos personales bajo la suposición de que están usando el sitio web como de costumbre.
Como ilustra esto, los esquemas de web skimming son extremadamente sofisticados; hay muchos casos en los que pasan meses sin que ni los usuarios ni las empresas se den cuenta de que se ha producido una infracción. Por lo tanto, corresponde a los operadores de empresas eliminar las posibles vulnerabilidades que podrían convertirlos en objetivos del web skimming e implementar contramedidas sólidas.
Factores de riesgo del web skimming
El web skimming se produce cuando los atacantes aprovechan vulnerabilidades como debilidades en los sitios web, manipulación de servicios externos o una insuficiente seguridad en el sitio de e-commerce.
Vulnerabilidades del sitio web
Uno de los factores que contribuyen al web skimming son las vulnerabilidades del sitio web. Si existen vulnerabilidades de seguridad en un sistema de gestión de contenidos (CMS) o en el paquete de desarrollo utilizado para el sitio de e-commerce, existe un mayor riesgo de que el sitio pueda verse comprometido por los atacantes.
Por ejemplo, los ciberataques, como la inyección SQL (un ataque que envía comandos maliciosos a la base de datos de un sitio web), pueden dar lugar a que se inserten scripts maliciosos en un sitio web.
Los sitios web se vuelven más vulnerables a los ataques si no se han aplicado actualizaciones de software o si se están utilizando versiones desactualizadas de plugins.
Servicios externos o scripts comprometidos
Si se manipulan los scripts de servicios externos, pueden producirse ataques de web skimming incluso si el sitio web en sí no se ha visto comprometido.
Los sitios e-commerce utilizan una amplia variedad de scripts externos, incluidas herramientas de análisis, funciones de chate y servicios de pago. Si estos scripts externos se ven comprometidos, existe el riesgo de que la información introducida por los usuarios pueda enviarse a los atacantes.
Este tipo de ataque también podría afectar a una gran cantidad de otros sitios que utilizan el mismo servicio externo.
Medidas de seguridad inadecuadas
Si no se han implementado medidas de seguridad y sistemas de gestión adecuados, aumenta el riesgo de acceso no autorizado o manipulación de datos.
Por ejemplo, restricciones de acceso insuficientes al portal de administración o gestión inadecuada de contraseñas pueden dar lugar a un acceso no autorizado.
Si la supervisión de seguridad y las auditorías de vulnerabilidades son inadecuadas, los scripts maliciosos que se han integrado pueden pasar desapercibidos durante mucho tiempo.
Contramedidas frente al web skimming
Para combatir el web skimming, es importante abordar las vulnerabilidades del sitio web, gestionar scripts externos y realizar una supervisión de seguridad. También es una buena idea implementar un sistema para prevenir pagos fraudulentos, en caso de que realmente se roben datos de tarjetas de tu sitio.
|
Contramedida |
Detalles |
|---|---|
|
Actualizaciones de software |
Mantén actualizados los CMS, las herramientas de desarrollo de sitios de e-commerce y los plugins, y corrige las vulnerabilidades conocidas. |
|
Gestión de scripts externos |
Verifica el estatus de consumo de los servicios externos y JavaScript, y carga solo scripts de confianza. |
|
Gestión del acceso al portal de administradores |
Evita el acceso no autorizado implementando requisitos estrictos de contraseña, restricciones de acceso y autenticación multifactor. |
|
Supervisión del sitio |
Supervisa la manipulación del sitio web y el tráfico sospechoso de la red para detectar anomalías a tiempo. |
|
Implementa un sistema en el que el sitio de e-commerce no almacene información de tarjetas de crédito, reduciendo así el riesgo de filtraciones de datos. |
|
|
Uso de medidas de protección antifraude |
Aplicar medidas de protección antifraude como un sistema de detección y 3D Secure 2 (3DS2). |
El web skimming es un ataque que aprovecha las vulnerabilidades de los sitios web o las debilidades de sus sistemas de administración. La actualización continua del software, la gestión adecuada de scripts externos y la supervisión de la seguridad pueden ayudar a evitar que se produzcan o se agraven incidentes.
Por ejemplo, la implementación de 3D Secure 2 (3DS2) puede ayudar a reducir el riesgo de que la información de las tarjetas robadas a través del web skimming o métodos similares se utilice para cometer fraudes.
Ejemplos de web skimming en Japón
Se han informado casos reales de web skimming en sitios de e-commerce japoneses.
En 2023, un sospechoso fue arrestado por supuestamente instalar malware diseñado para robar información de tarjetas en el servidor de la tienda oficial en línea de un grupo musical japonés, obteniendo así ilegalmente información de tarjetas de crédito. Según informes de los medios, se cree que el sospechoso obtuvo la información de unas 500 tarjetas de crédito.
Como ilustra este caso, el web skimming ocurre cuando los sitios legítimos de e-commerce se ven comprometidos, lo que dificulta a los usuarios detectar el ataque. Esto muestra la necesidad de que los operadores de sitios de e-commerce implementen continuamente medidas de seguridad como actualizaciones de software, gestión de scripts externos y supervisión del sitio.
Cómo puede ayudarte Stripe Radar
Stripe Radar utiliza modelos de IA, entrenados a partir de los datos de la red internacional de Stripe, para detectar y prevenir el fraude. Estos modelos se actualizan continuamente con las últimas tendencias de fraude para proteger a tu empresa frente a nuevas amenazas.
Stripe también ofrece Radar for Fraud Teams que permite a los usuarios añadir reglas personalizadas para hacer frente a situaciones de fraude específicas de sus empresas y acceder a información avanzada sobre fraudes.
Radar puede ayudar a tu empresa para:
Prevenir pérdidas por fraude: Stripe procesa más de un billón de dólares en pagos al año. Esta escala permite a Radar detectar y prevenir el fraude con precisión, lo que te ahorra dinero.
Aumenta los ingresos: los modelos de IA de Radar se entrenan con datos reales sobre disputas, información de clientes, datos de navegación y mucho más. Esto permite a Radar identificar transacciones de riesgo y reducir los falsos positivos, lo que aumenta tus ingresos.
Ahorra tiempo: Radar está integrado en Stripe y no requiere ninguna línea de código para su configuración. También puedes supervisar tu rendimiento en materia de fraude, escribir reglas y mucho más en una única plataforma, lo que aumenta la eficiencia.
Más información sobre Stripe Radar o empieza hoy mismo.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.