La Navidad está a la vuelta de la esquina y desgraciadamente algunas personas perderán su espíritu navideño. Cuando millones de personas se conectan a Internet para comprar regalos existe una trampa latente. Estamos hablando de la nueva amenaza invisible en Internet: Formjacking, también conocido como e-skimming. Los hackers están pirateando tiendas online, secuestrando datos bancarios y de tarjetas de crédito. El cliente desprevenido y la compañía afectada ni siquiera lo notan; todo va como de costumbre. El comprador recibe su producto y la empresa el pago, pero en segundo plano los ciberdelincuentes se conectan a la información secreta del pago. Sólo a posteriori, despertamos en la triste realidad: personas desconocidas han hecho grandes cantidades de compras a expensas del titular de la tarjeta.
La BKA y el FBI advierten
En su nuevo Informe de gestión federal sobre la ciberdelincuencia, la BKA (Oficina Federal de Investigación Criminal en Alemania) confirma que el año anterior se produjo un gran aumento del número de casos de secuestro durante el negocio navideño. El FBI también emitió recientemente una advertencia en el contexto del mes de la Seguridad Cibernética de Estados Unidos en 2019, en particular a las pequeñas y medianas empresas que ofrecen pagos con tarjeta de crédito en línea3. A menudo sus métodos de defensa son menos sofisticados y, por lo tanto, son particularmente vulnerables a los ataques. El malware infiltrado permanecerá también sin ser detectado en sus sistemas durante más tiempo.
Con mayor frecuencia, las empresas más grandes están en el punto de mira. Uno de los casos más espectaculares ocurrió en septiembre de 2018, cuando British Airways perdió más de 380.000 datos de tarjetas de crédito de clientes, debido a una página de reservas infectada. Es probable que este ataque haya hecho ganar a los hackers varios millones de dólares. Por su parte, British Airways no sólo sufrió una inmensa pérdida de confianza, sino que también se enfrenta a una posible multa de 230 millones de dólares a causa de medidas de seguridad inadecuadas, es la mayor multa hasta la fecha desde la entrada en vigor de GDPR.
¿Cómo funciona el Formjacking?
El término «formjacking» es una combinación de «online form» y «hijacking» y describe básicamente la versión digital del conocido skimming, en el que los estafadores preparan la ranura de tarjetas en los cajeros automáticos con su propio lector de tarjetas. El código PIN se espiará simultáneamente con cámaras pequeñas y la tarjeta bancaria se puede duplicar con los datos recogidos.
Un secuestro similar tiene lugar en el ciberespacio. En el ataque se crea una página web con un código malicioso, generalmente pequeños JavaScripts ocultos. Según el FBI, los hackers suelen conseguirlo mediante la suplantación de identidad (phishing) y el envío de correos electrónicos maliciosos a empleados o proveedores vulnerables de terceros, cuyas aplicaciones tienen acceso al entorno de servidores de una empresa. Una vez que el código malicioso ha sido implementado, los datos de la tarjeta de crédito pueden ser capturados en tiempo real tan pronto como el cliente los introduce en el sitio web de la tienda.
Los ciberdelincuentes utilizan la valiosa información para ir de compras o venderla en Darknet. Según un estudio de la agencia de crédito estadounidense Experian, un número de tarjeta de crédito con un código de seguridad se vende en el mostrador digital por unos 5 dólares estadounidenses. Los datos de acceso de proveedores de servicios de pago como Paypal pueden incluso ganar alrededor de 20 dólares estadounidenses.
¿Quién está detrás de los ataques?
El formjacking pertenece a los llamados ataques man-in-the-middle, en los que los atacantes se posicionan de forma inadvertida entre los partners de comunicación que utilizan malware. ¿Pero quiénes son los desconocidos? Por lo general, no se puede asignar claramente, pero el nombre de Magecart aparece una y otra vez en relación con los incidentes, como en el caso de British Airways descrito al principio. Se trata de un término genérico que describe las actividades de al menos siete grupos de hackers que utilizan malware parecido en ataques orquestados de forma similar. Los grupos Magecart no se limitan a una plataforma específica de tiendas online en el marco de sus guardias. Además, se ha observado que algunos ciberdelincuentes se especializan en servicios de terceros, como los widgets de chat en vivo.
¿Cómo puedes protegerte?
No es posible que el cliente detecte y prevenga el formjacking durante las compras online porque las páginas infectadas no se ven modificadas. Por lo tanto, es aconsejable limitar las compras a las grandes tiendas que, a diferencia de los pequeños sitios web de comercio electrónico, están equipados con sistemas de seguridad más amplios. Las tarjetas de crédito también deben tener un segundo nivel de defensa en forma de 3D Secure. Por ejemplo, ninguna transacción es posible sin un código TAN enviado al smartphone.
Pero la verdadera responsabilidad de prevenir los ataques de e-skimming recae en las empresas. Es necesario que actualicen sus sistemas de seguridad. El objetivo es mantener las puertas de entrada cerradas al malware, por ejemplo: en forma de correos maliciosos con amplias medidas de protección.
Formjacking se centra actualmente en el robo de datos de tarjetas de crédito, pero en principio puede ser utilizado para conseguir cualquier tipo de datos que se capturan a través de formularios online. Por lo tanto, la expansión del fraude es más que probable.
Más información:
