El e-skimming dispara el robo de tarjetas en tiendas online legítimas
- Vulnerabilidades
Este método, consistente en inyectar un código malicioso oculto en scripts de terceros, casi triplicó su actividad en 2024 con más de 11.000 dominios infectados. Un solo proveedor comprometido o un plugin desactualizado puede abrir la puerta a miles de tiendas.
NordVPN alerta de un fuerte aumento de ataques invisibles que roban datos de tarjetas en tiendas online legítimas sin que usuarios ni comercios lo detecten. Para ello se valen del e-skimming, un método que consiste en inyectar código JavaScript malicioso en tiendas online legítimas para capturar números de tarjeta, nombres, CVV, correos electrónicos y fechas de caducidad sin generar alertas visibles.
Su peligrosidad radica en que actúa de forma totalmente silenciosa. Los usuarios continúan navegando con normalidad y los comercios no reciben notificaciones inmediatas del robo.
Según el Informe Anual de Inteligencia sobre Fraude en Pagos, la actividad de e-skimming casi se triplicó en 2024 respecto a 2023, alcanzando un récord de más de 11.000 dominios infectados.
Scripts externos como puerta de entrada al robo
Las pasarelas de pago actuales cargan múltiples scripts externos —analytics, widgets de pago, rastreadores, bibliotecas de UX o herramientas de pruebas A/B— que, aunque provienen de proveedores de confianza, no siempre están monitorizados. Un solo proveedor comprometido o un plugin desactualizado puede abrir la puerta a miles de tiendas.
Una vez inyectado, el código malicioso se mezcla con scripts legítimos y puede activarse solo en determinadas regiones u horarios para evitar ser detectado. En muchos casos, el robo se produce antes incluso de que el usuario confirme la compra.
Tras capturar los datos, los ciberdelincuentes los venden rápidamente en mercados de la dark web. Según investigaciones de NordVPN, las tarjetas robadas pueden costar apenas 9 dólares. A partir de ahí, los atacantes realizan compras fraudulentas, vacían cuentas o lavan dinero mediante tarjetas regalo, normalmente en cuestión de horas.
“Puedes comprar en una página legítima y que tus datos sean robados sin pop-ups ni advertencias, solo un robo en silencio”, explica Marijus Briedis, CTO de NordVPN.
NordVPN recomienda a los usuarios adoptar medidas preventivas para reducir el riesgo, tales como usar tarjetas virtuales o de un solo uso y métodos tokenizados como Apple Pay o Google Pay; no guardar datos de tarjetas en tiendas online y desactivar el autorrelleno; instalar herramientas de seguridad que bloqueen scripts maliciosos en tiempo real; vigilar extensiones sospechosas o pop-ups inesperados durante el pago; y revisar con frecuencia los movimientos bancarios para detectar transacciones anómalas.
