El web skimming es un tipo de ciberataque en el que se insertan scripts maliciosos en un sitio web con el objetivo de robar información de tarjetas de crédito y datos personales que los usuarios ingresan. Los formularios de pago en los sitios de comercio electrónico suelen ser los principales objetivos. En Japón, se reportaron numerosos casos de robo de información de usuarios sin que ellos lo sepan.
El acceso no autorizado y las filtraciones de datos en los sitios de comercio electrónico se convirtieron en un problema de seguridad importante para las empresas, por lo que es fundamental implementar sistemas de pago seguros.
En este artículo, hay un resumen accesible sobre el web skimming en el que se explica cómo funciona, sus causas, las contramedidas más efectivas y casos pertinentes reportados en Japón.
¿Qué contiene este artículo?
- ¿Qué es el web skimming?
- Cómo funciona el web skimming
- Factores de riesgo del web skimming
- Contramedidas del web skimming
- Ejemplos del web skimming en Japón
- Cómo puede ayudar Stripe Radar
¿Qué es el web skimming?
El web skimming es un tipo de ciberataque en el que se inserta código malicioso en un sitio web para robar la información ingresada por los usuarios.
A pesar de la presencia de este código malicioso, la página de pago y los formularios de entrada del sitio web parecen genuinos. Como resultado, los usuarios no advierten el cambio e introducen sus datos de tarjeta de crédito y su información personal en el sitio como de costumbre. Sin embargo, existe el riesgo de que esta información se envíe al atacante de forma encubierta.
Incidentes del web skimming
Hubo muchos reportes de que la información de las tarjetas de crédito se vio comprometida o se filtró debido al acceso no autorizado a sitios de comercio electrónico.
En marzo de 2022, la Comisión de Protección de Datos Personales realizó una encuesta sobre el acceso no autorizado a sitios de comercio electrónico. Según los resultados, en los sitios que habían sufrido acceso no autorizado, la información de las tarjetas de crédito se filtró en el 93 % de los casos y se produjo uso fraudulento de tarjetas en el 77 % de los casos. Aproximadamente el 80 % de las empresas suspendió temporalmente el funcionamiento de sus sitios de comercio electrónico como consecuencia del acceso no autorizado.
Por lo tanto, el web skimming y otros ataques cibernéticos pueden tener un impacto considerable en las operaciones de la empresa, ya que provocan no solo la filtración de información de los clientes, sino también la suspensión de las operaciones de comercio electrónico y daños a la reputación de la compañía.
Diferencias con el skimming
El «skimming» es un concepto similar al web skimming. Las principales diferencias entre el skimming y el web skimming son las siguientes:
|
Skimming |
Web skimming |
|
|---|---|---|
|
Ubicaciones vulnerables |
Cajeros automáticos y lectores de tarjetas |
Sitios web |
|
Métodos de ataque |
La información de la tarjeta se lee con un dispositivo especializado |
La información ingresada se roba por medio de scripts maliciosos |
|
Objetivos frecuentes |
Datos de la banda magnética de la tarjeta |
Información de la tarjeta de crédito y datos personales |
El skimming es un acto criminal que consiste en la lectura no autorizada de los datos de la banda magnética de una tarjeta de crédito y otra información. Un método habitual consiste en colocar un dispositivo en un cajero automático o en un lector de tarjetas para robar información de la tarjeta.
Por otro lado, el web skimming es un ataque que se realiza a través de Internet; consiste en integrar scripts o código malicioso en sitios web para robar los datos ingresados por los usuarios.
Cómo funciona el web skimming
En el web skimming, se utiliza código o scripts maliciosos integrados en el sitio web para enviar la información ingresada por los usuarios a terceros. Los atacantes usan diversos métodos para comprometer sitios web y servicios externos, lo que da lugar a las condiciones necesarias para acceder a los datos que introducen los usuarios.
El proceso típico del web skimming es el siguiente:
- Un atacante manipula un sitio web o un servicio externo e inserta un script malicioso.
- Un usuario introduce datos de su tarjeta de crédito o información personal en un formulario de pago o similar.
- El script captura la información ingresada.
- Esta información capturada se envía al servidor del atacante.
A pesar de que el script está integrado en el sitio, la apariencia visual del sitio permanece sin cambios; en consecuencia, los usuarios ingresan sus datos de tarjeta de crédito y datos personales bajo la creencia de que están utilizando el sitio web normalmente.
Como demuestra este ejemplo, los esquemas de web skimming son extremadamente sofisticados; existen muchos casos en los que pasan meses sin que ni los usuarios ni las empresas adviertan que se produjo un incidente de seguridad. Por ello, corresponde a los operadores de los sitios eliminar posibles vulnerabilidades que los conviertan en objetivos de web skimming e implementar contramedidas sólidas.
Factores de riesgo del web skimming
El web skimming se produce cuando los atacantes aprovechan vulnerabilidades como deficiencias en los sitios web, manipulación de servicios externos o seguridad insuficiente en los sitios de comercio electrónico.
Vulnerabilidades del sitio web
Uno de los factores que contribuyen al web skimming son las vulnerabilidades de los sitios web. Si existen fallas de seguridad en un sistema de gestión de contenidos (CMS) o en el paquete de desarrollo utilizado para el sitio de comercio electrónico, el riesgo de que los atacantes comprometan el sitio aumenta.
Por ejemplo, ciberataques como la inyección del lenguaje de consulta estructurado (SQL) (un ataque que envía comandos maliciosos a la base de datos de un sitio web) pueden permitir que se inserten scripts maliciosos en la página.
Los sitios web se vuelven aún más vulnerables si no se aplican las actualizaciones de software o si se utilizan versiones obsoletas de plugins.
Servicios externos o scripts comprometidos
Si se manipulan los scripts en servicios externos, pueden producirse ataques de web skimming, incluso si no se comprometió el propio sitio web.
Los sitios de comercio electrónico suelen utilizar una amplia variedad de scripts externos, que incluyen herramientas de análisis, funciones de chat y servicios de pago. Si estos scripts se ven comprometidos, existe el riesgo de que la información ingresada por los usuarios se envíe a los atacantes.
Además, este tipo de ataque también podría afectar a una gran cantidad de otros sitios que utilizan el mismo servicio externo.
Medidas de seguridad inadecuadas
Si no se implementan medidas de seguridad y sistemas de gestión adecuados, aumenta el riesgo de accesos no autorizados o manipulación de datos.
Por ejemplo, restricciones insuficientes de acceso al portal de administración o una gestión de contraseñas inadecuada dan lugar a accesos no autorizados.
Si la supervisión de seguridad y las auditorías de vulnerabilidad son insuficientes, los scripts maliciosos integrados pueden pasar desapercibidos durante mucho tiempo.
Contramedidas del web skimming
Para combatir el web skimming, es importante solucionar las vulnerabilidades del sitio web, gestionar los scripts externos y realizar una supervisión de seguridad. Además, conviene implementar un sistema que evite pagos fraudulentos en caso de que la información de tarjetas se vea comprometida en tu sitio.
|
Contramedida |
Datos |
|---|---|
|
Actualizaciones de software |
Mantén actualizados los CMS, las herramientas de desarrollo de sitios de comercio electrónico y los plugins, y soluciona las vulnerabilidades conocidas. |
|
Gestión de scripts externos |
Verifica el estado de uso de los servicios externos y de JavaScript, y carga únicamente scripts de confianza. |
|
Gestión de acceso al portal de administradores |
Evita el acceso no autorizado mediante requisitos de contraseñas seguras, restricciones de acceso y autenticación multifactor. |
|
Supervisión del sitio |
Supervisa la integridad del sitio web y el tráfico de red para detectar manipulaciones, comportamientos sospechosos o anomalías de forma temprana. |
|
Implementa un sistema que impida que el sitio de comercio electrónico almacene información de tarjetas de crédito, lo que reducirá el riesgo de filtraciones de datos. |
|
|
Uso de medidas de protección contra fraudes |
Implementa medidas de protección contra fraudes, como un sistema de detección de fraudes y 3D Secure 2 (3DS2). |
El web skimming es un ataque que aprovecha las vulnerabilidades de los sitios web o las deficiencias en sus sistemas de administración. Mantener el software actualizado, gestionar correctamente los scripts externos y supervisar la seguridad puede ayudar a prevenir que se produzcan incidentes o a que estos se agraven.
Por ejemplo, la implementación de 3D Secure 2 (3DS2) puede reducir el riesgo de que la información de tarjetas de crédito robada mediante web skimming u otros métodos similares se utilice para cometer fraudes.
Ejemplos del web skimming en Japón
Se reportaron casos reales de web skimming en sitios de comercio electrónico japoneses.
En 2023, se arrestó a un sospechoso por supuestamente instalar malware diseñado para robar datos de tarjetas en el servidor de la tienda oficial en línea de un grupo de música japonés con el objetivo de obtenerlos de forma ilegal. Según informes de medios, se cree que accedió a los datos de unas 500 tarjetas de crédito.
Como ejemplifica este caso, el web skimming ocurre cuando los sitios legítimos de comercio electrónico se ven comprometidos, lo que dificulta que los usuarios detecten el ataque. Esto demuestra la necesidad de que los operadores de sitios de comercio electrónico apliquen de manera continua medidas de seguridad, como actualizaciones de software, gestión de scripts externos y supervisión del sitio.
Cómo puede ayudar Stripe Radar
Stripe Radar utiliza modelos de IA para detectar y prevenir fraudes. Estos modelos, entrenados con datos de la red global de Stripe, se actualizan continuamente en función de las últimas tendencias de fraude, lo cual mantiene a tu empresa protegida a medida que evoluciona.
Stripe también ofrece Radar para Equipos de Fraude, que permite a los usuarios agregar reglas personalizadas que abordan escenarios de fraude específicos de sus empresas y acceder a información avanzada sobre fraude.
Radar puede ayudar a tu empresa a lograr lo siguiente:
Prevenir pérdidas por fraude: Stripe procesa más de $1 billón en pagos al año. Este crecimiento permite a Radar detectar y prevenir el fraude con precisión y ahorra dinero.
Aumentar los ingresos: los modelos de IA de Radar se entrenan con datos reales de disputas, información de clientes, datos de navegación y más. Esto permite a Radar identificar transacciones de riesgo y reducir falsos positivos, lo que aumenta tus ingresos.
Ahorrar tiempo: Radar se integra en Stripe y no necesita líneas de código para su configuración. También puedes controlar el rendimiento del fraude, escribir reglas y mucho más en una sola plataforma, lo que aumenta la eficiencia.
Obtén más información sobre Stripe Radar o empieza a utilizarlo hoy mismo.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.