Información personal de miles de clientes fue comprometida en una campaña global de ataques conocidos como Magecart o web skimming dirigida a tiendas online creadas con Magento, la popular plataforma de ecommerce. Los atacantes lograron vulnerar los sitios para insertar scripts maliciosos con el fin de obtener los datos de las tarjetas que ingresaban los clientes al momento de realizar una compra en la tienda.
Los investigadores de Sansec, compañía especializada en el monitoreo y análisis de fraudes de skimming online, fueron quienes detectaron esta campaña de web skimming que, según ellos, es la más grande que hayan observado hasta el momento desde que comenzaron a monitorear tiendas online en 2015.
La mayoría de estos ataques comenzaron el viernes pasado y continuaron durante el fin de semana. Afectaron principalmente a tiendas que utilizaban Magento 1, una versión cuyo ciclo de vida terminó el pasado mes de junio y ya no recibe actualizaciones de seguridad, aunque también se vieron comprometidas tiendas que corren Magento 2.
El 14 de septiembre se registraron 1904 tiendas a las que habían añadido un skimmer en la página de pagos que recolectaba los datos personales y financieros de compradores desprevenidos. Sin embargo, en las últimas horas la cifra de sitios afectados superó los 2800, aseguró Sansec en un tweet publicado hoy.
Según explican los investigadores “el alcance de este incidente durante el fin de semana es un ejemplo del aumento de la sofisticación y retribución del web skimming. Los cibercriminales han estado incrementando la automatización de sus operaciones maliciosas para comprometer mediante diferentes esquemas de web skimming a la mayor cantidad de tiendas online posibles”.
Si bien aún están investigando cuál fue exactamente el vector de ataque utilizado en esta campaña para añadir el script malicioso en las tiendas, los investigadores creen que puede estar relacionado a la venta de un exploit para una vulnerabilidad zero-day de ejecución remota de código en Magento que vieron que se ha estado ofreciendo durante el último mes en foros de hacking.
En julio se conoció que un grupo de cibercriminales que comprometió mediante ataques de web skimming más de 550 tiendas online ubicadas en países de distintas partes del mundo, muchas de ellas en varios países de América Latina, como Argentina, Brasil, Chile, Colombia, Perú y Paraguay, entre otros. Esta modalidad no es nueva, pero sí es importante tomar los recaudos correspondientes en un contexto como el actual que presenta un aumento en las compras online por parte de los usuarios a raíz del escenario que trajo la pandemia del nuevo coronavirus. En este sentido, plataformas como Shopify, una de las más populares para la creación de tiendas online, casi duplicó sus ganancias en el segundo trimestre de este año a raíz de la necesidad de muchas empresas de volcarse hacia el comercio electrónico.
Por lo tanto, se recomienda a los propietarios de una tienda que estén corriendo Magento 1 que actualicen a Magento 2 para una mayor seguridad. Datos de Sansec aseguran que cerca de 95.000 tiendas online continúan utilizan Magento 1.