Los gigantes Ticketmaster y British Airways son algunos de los e-commerces recientemente atacados por la (no tan nueva) técnica de formjacking. Para entenderlo, este ataque es la aplicación de un código JavaScript o PHP maligno que captura datos de clientes en la etapa del checkout. Así como el phishing, este tipo de ataque merece que se le preste atención ya que es una de las principales causas de filtraciones de números de tarjeta de crédito y ya ha generado graves daños financieros, e incluso, multas millonarias.
Qué es y cómo funciona el formjacking
En general, la inserción del código maligno —que puede ser tanto en PHP como en JavaScript— puede ocurrir en sitios grandes o pequeños. El formacking se da de dos formas: la primera, por acción directa en el sitio objetivo.
La segunda, más “popular”, y llamada cross-domain script include se lleva a cabo por medio de scripts de terceros (aplicaciones de terceros). De esta forma, cuando es infectado un mismo script que es utilizado por miles de sitios, puede llevar a la recolección de datos en masa.
Una vez que se inserte el código, los hackers reciben una copia de todos los datos en cuanto las víctimas hacen clic en “siguiente” o “enviar” en las páginas de checkout. Todo sucede de la manera más silenciosa para el consumidor, ya que la compra sigue normalmente luego del acto delictivo. Es por esta razón que, muchas veces, un robo así puede llevar meses hasta que se descubra o aparezca en alguna filtración o venta de datos.
La tendencia es que el escenario empeore, ya que los ataques se están multiplicando: Symantec (empresa del antivirus Norton) bloqueó 3.7 millones de estos ataques en 2018, y más de 1 millón solamente en los dos últimos meses del año.
Magecart: grandes ataques y multas millonarias
En julio de 2019, British Airways recibió una multa de la GDPR (General Data Protection Regulation) por 183 millones de libras, aproximadamente US$ 229.2 millones, por la filtración de números completos de tarjetas de crédito de 500 mil clientes que ocurrió luego de un ataque de formjacking en junio de 2018.
Esta fue la mayor multa aplicada hasta el momento por parte de la normativa europea, lo que refuerza la necesidad de compromiso y responsabilidad con el manejo de los datos de sus clientes por parte de las empresas.
Los hackers responsables de la filtración pertenecen a Magecart, que es un grupo de invasores especializados en la inserción de códigos malignos en e-commerce y que utilizan la plataforma Magento de Adobe que corre en PHP.
Filtraciones de datos: para estar alerta
Ya es sabido que las fallas de seguridad en códigos (que permiten ataques de hackers) están estrictamente conectadas a filtraciones de datos: las informaciones obtenidas pueden publicarse o venderse en la web superficial y/o en la deep y dark web.
En el caso de los ataques web (aquellos que buscan invadir sistemas, a diferencia de golpes como el phishing), la empresa de seguridad F5 Networks ya señaló que el formjacking es el “campeón” de la categoría: esta técnica ya ha alcanzado el 71% del total de filtraciones de datos derivados de ataques, además de sumar el 12% de todas las filtraciones.
Protección: ¿antes o después de la exposición?
La respuesta es: ¡en ambos casos! El área de Application Security (junto con la buena evaluación de todos los third-party scripts utilizados) es extremadamente delicada e importante a la hora de anticipar problemas y evitar fallas de seguridad —y multas— como la de British Airways. Sin embargo, el monitoreo y la reacción adecuados también son parte indispensable de la correcta gestión de riesgos en SI (Seguridad de la información).
Y la remediación no debe ser exclusiva de la filtración de datos en sí: basta observar cómo existen instrucciones y/o códigos que brindan acceso a fallas de seguridad, y estas pueden presentarse en cualquier momento.
En el caso de que el acceso a la falla de seguridad ocurra, es entonces necesario contar con una herramienta de monitoreo y reacción a la exposición de datos. En un momento en el que las leyes de protección de datos ya están en vigor, es importante cerciorarse de evitar multas y de tener el mayor cuidado posible con los riesgos digitales. Además de eso, el tiempo de reacción es otro factor determinante que puede llevar a que se encuentren las fallas en los sistemas para así evitar daños más graves.
Axur atiende empresas que necesitan ayuda a la hora de lidiar con riesgos digitales como filtraciones de datos. Con miles de BOTs y técnicas de inteligencia artificial, escaneamos la web en busca de infracciones como estas que acaba de leer. Una solución que puede resultar útil para subsanar estos problemas es el monitoreo de phishing. Y, para un monitoreo de la deep y dark web, conozca también Threat Intelligence.
Periodista y Content Creator de Axur, responsable por el Deep Space y actividades de prensa. Por aquí, también ya he analizado muchos datos y estafas como miembro del equipo de Brand Protection. Resumen: trabajar con tecnología, información y conocimiento en conjunto es uno de mis más grandes amores!