Con la temporada de compras navideñas llegando a su punto más alto, los expertos en ciberseguridad advierten sobre el e-skimming, un código peligroso de JavaScript que se inyecta en las tiendas online legítimas para robar los datos de las tarjetas de crédito. Es el equivalente en línea al skimming o robo de información con dispositivos físicos que se pueden encontrar en cajeros automáticos.
Lo que hace particularmente peligroso al e-skimming es que es invisible. Los usuarios pueden seguir navegando sin darse cuenta de lo que está pasando y los negocios usualmente no tienen notificaciones inmediatas de los datos que se están recolectando en segundo plano.
Según el Informe Anual de Inteligencia sobre Fraude en Pagos, el e-skimming es uno de los métodos más efectivos para robar información. En comparación a 2023, la actividad relacionada con el e-skimming casi se triplicó en 2024, con más de 11.000 dominios nuevos de e-commerce infectados, la cifra más alta que se ha registrado en un año.
“Los ciberdelincuentes implantan skimmers de JavaScript que se ejecutan en silencio en tu navegador y se llevan en tiempo real los números de tarjetas de crédito, nombres, códigos CVV, correos electrónicos, fechas de vencimiento y otra información confidencial, a veces incluso antes de que termines la compra”, dice Marijus Briedis, CTO de NordVPN. “Puedes comprar en una página legítima y que tus datos sean robados, sin pop-ups, sin advertencias, solo un robo en silencio”.
De la compra al robo
Las pasarelas de pago de hoy en día cargan una mezcla de códigos externos, incluyendo etiquetas de analytics, widgets de pago, rastreadores de marketing, bibliotecas de UX y herramientas de pruebas A/B. Estos son proveedores de confianza, pero no suelen tener seguimiento. Esto abre las puertas para el e-skimming, un código peligroso que es ejecutado en la página como un script normal y, una vez termina de cargar, se ejecuta de forma local en el navegador del usuario.
Un solo proveedor que sea infectado o un plugin desactualizado puede afectar a todas las tiendas que lo utilizan. Una vez es inyectado, el código se mezcla con scripts legítimos, lo que permite que se active en regiones u horarios específicos para capturar los datos. El robo incluso puede ocurrir antes de que el usuario confirme la compra.
Una vez se lleva la información, suele entrar a hacer parte de una economía informal que se mueve a toda velocidad. Normalmente, los ciberdelincuentes venden los datos en mercados de la dark web y, como muestra una investigación reciente de NordVPN, las tarjetas de crédito no son caras, pueden venderse desde $9 USD aproximadamente. Luego las usan para hacer compras rápidas y fraudulentas, vaciar cuentas o lavar dinero con tarjetas de regalo, casi siempre apenas unas horas después del robo.
“El e-skimming consigue su objetivo porque se esconde en los scripts que las tiendas online necesitan para funcionar”, añade Briedis. “Muchos comercios no tienen visibilidad o control sobre esos scripts que se ejecutan en el navegador del usuario, así el código inyectado funciona en silencio, roba toda la información de las tarjetas y desaparece sin dejar rastro”.
Cómo protegerte mientras compras en internet:
Marijus Briedis, CTO de NordVPN, sugiere seguir estás precauciones clave para que todos los usuarios se protejan al comprar online:
● Usar una tarjeta virtual o de un solo uso, un servicio de pago que no exponga los números de tu tarjeta real o pagos tokenizados (Apple Pay, Google Pay, etc.).
● No guardar jamás información de las tarjetas en las páginas web, así sean de confianza, además de desactivar el relleno automático en los espacios para pagar.
● Instalar una herramienta de seguridad que bloquee los scripts y rastreadores peligrosos en tiempo real, como la Protección contra amenazas Pro™.
● Estar atento a extensiones inusuales en el navegador o pop-ups inesperados al confirmar la compra.
● Revisar con frecuencia los movimientos bancarios para identificar transacciones extrañas.
