En julio, un grupo de ciberatacantes llamado Magecart hizo temblar al mundo del comercio electrónico. Su código malicioso de skimming, que se inserta en las webs de estos comercios para robar los datos personales y financieros de sus clientes al hacer una compra, fue descubierto en casi 18.000 dominios. Y este incidente no ha sido el único.
Hace un año, British Airways anunció que había sido víctima de una brecha de datos masiva. Los atacantes consiguieron robar los de unos 500.000 clientes de la aerolínea, incluida información tan sensible como sus nombres, números de tarjetas de crédito y sus códigos CVV y direcciones de correo electrónico. Diez meses más tarde, la aerolínea recibió una multa record de 183 millones de libras (204.110.000€) bajo el GDPR. ¿El culpable de estos ataques? Magecart.
El sector hotelero, en la línea de fuego
En septiembre se descubrió que dos cadenas de hoteles se habían visto afectadas por una campaña de Magecart. En esta campaña, el código de skimming fue inyectado en las webs móviles de las dos cadenas a través de un ataque de cadena de suministro a un proveedor.
En ambos casos, el proveedor fue Roomleader, una empresa basada en Barcelona que proporciona servicios de marketing digital y desarrollo web. Uno de los servicios de Roomleader es un módulo que guarda en las cookies de los visitantes de la web los hoteles que han visto. Las dos cadenas de hoteles afectadas habían implementado este módulo, que los atacantes habían infectado con JavaScript malicioso.
Como es típico con los ataques de Magecart, el código de skimming está diseñado para funcionar en un entorno digital y robar datos de formularios de pago, como detalles de tarjetas de crédito, nombres, emails o números de teléfono, entre otros. Luego, estos datos se cifran doblemente y se exfiltran a los atacantes, que lo pueden descifrar y utilizar.
Descárgate el Whitepaper de ciberseguridad hotelera
¿Por qué solo atacaron a las webs móviles?
Aunque el código de skimming es capaz de robar datos tanto de ordenadores como de dispositivos móviles, los atacantes de Magecart programaron el malware específicamente para afectar solo a los usuarios móviles. Los que visitaron la web desde un ordenador vieron un JavaScript normal. Es probable que se hiciera así para evitar que el software de seguridad que suele estar presente en los ordenadores lo detectara.
Otro truco que utilizaron los atacantes fue que el skimmer fue programado para remplazar los formularios de pago con versiones ligeramente distintas, creadas por los atacantes. Incluso tradujeron las páginas a las ocho lenguas de las webs de las víctimas.
Se cree que este esfuerzo es debido a que muchos formularios de reserva de hoteles no piden el código CVV por adelantado, ya que los clientes pagan cuando llegan al hotel. Los atacantes necesitaban este código para poder utilizar los datos robados, así que crearon una versión del formulario que lo pedía.
Que Magecart no robe datos de tu empresa
La lista de víctimas de Magecart es larga, e incluye empresas tan conocidas como Ticketmaster, Forbes y Amazon CloudFront. Para poder atacar a tantos comercios electrónicos, hace falta un abanico de técnicas muy grande y una adaptación constante, lo cual requiere una ciber-resiliencia permanente por parte de las organizaciones. Es por este motivo que es tan importante adelantarse a los ataques y asegurarse de que no lleguen a tu organización.
Panda Adaptive Defense vigila de manera continua todos los sistemas y procesos de tu organización. De esta manera, es capaz de prevenir y evitar cualquier ciberamenaza antes de que pueda causar problemas, ya sea la inyección de código malicioso, el ransomware, o el spyware.
Otra medida de protección de la que ninguna empresa puede prescindir es aplicar los parches relevantes a las vulnerabilidades lo antes posible. Se cree que la campaña masiva de Magecart que vimos este verano fue facilitada por una vulnerabilidad en una aplicación web, lo cual subraya la importancia de esta medida.
Panda Adaptive Defense cuenta con el módulo adicional Panda Patch Management. Este módulo busca y gestiona los parches relevantes para las vulnerabilidades. Audita, monitoriza y prioriza las actualizaciones de los sistemas operativas y cientos de aplicaciones de terceros para que puedas estar seguro de siempre tener el sistema actualizado.
Según RiskIQ, Magecart lleva al menos desde 2016 atacando empresas online, y es muy probable que siga llevando a cabo operaciones contra los comercios electrónicos de todo tipo. Protege adecuadamente tus sistemas para no convertirte en la siguiente víctima.