Skip to main content
Blog
Blog Attacks

Formjacking vs Magecart vs digital skimming: ¿cuál es la diferencia?

El digital skimming es el resultado del robo de datos, el formjacking es la técnica de captura y Magecart es el ecosistema de atacantes. Así se relacionan.

Jul 10, 2026 10 min read
Formjacking vs Magecart vs digital skimming: ¿cuál es la diferencia?

El formjacking, Magecart y el digital skimming son tres capas de una misma amenaza. El digital skimming es el resultado: datos de pago o personales robados de un sitio mediante código malicioso del lado del cliente. El formjacking es una técnica de captura que secuestra los campos de un formulario. Magecart designa a los grupos de atacantes que ejecutan estas campañas. Un grupo Magecart ejecuta una campaña de digital skimming que a menudo usa formjacking.

Los términos se intercambian con total libertad en los titulares, lo que dificulta defenderse de la amenaza. Si los tratas como una sola cosa, puedes terminar comprando una herramienta que aborda la capa equivocada. Esta guía separa el resultado, la técnica y el actor, y luego explica por qué estos ataques se cuelan más allá de los controles del lado del servidor y cómo el monitoreo del lado del cliente los detecta.

¿Qué es el digital skimming?

El digital skimming, también llamado e-skimming o web skimming, es el robo de datos sensibles directamente de un sitio web mediante código malicioso que se ejecuta en el navegador del visitante. El objetivo clásico son los datos de tarjetas de pago en una página de checkout: número de tarjeta, fecha de vencimiento y CVV. Los skimmers también recolectan credenciales de inicio de sesión, direcciones y otra información personal que se escribe en un formulario.

El nombre proviene de los skimmers físicos de tarjetas que se adosan a los cajeros automáticos y a los surtidores de gasolina. La versión digital logra el mismo resultado sin hardware. El JavaScript malicioso lee los datos a medida que el usuario los ingresa y, sin hacer ruido, envía una copia a un dominio controlado por el atacante. La transacción se completa con normalidad, así que las víctimas y los dueños del sitio a menudo no notan nada durante semanas.

El digital skimming describe el resultado. No dice nada sobre cómo llegó el código allí ni sobre quién lo puso. Ahí es donde entran los otros dos términos.

¿Qué es el formjacking?

El formjacking es una técnica para capturar datos de formularios web. El atacante inyecta código que se engancha a los campos del formulario, secuestrando o superponiendo las entradas para que las pulsaciones de teclas se copien a medida que el usuario escribe. El formulario legítimo sigue funcionando, y el atacante simplemente obtiene una copia paralela de todo lo que se ingresa.

El formjacking es una de las formas más comunes de llevar a cabo el digital skimming, pero no es la única. Los skimmers también pueden:

  • Leer el DOM directamente, raspando los valores de los campos cuando el usuario hace clic en "pagar"
  • Engancharse a los event listeners del botón de envío para capturar el payload del formulario
  • Interceptar solicitudes de red (por ejemplo, parcheando fetch o XMLHttpRequest)
  • Superponer un iframe de pago falso sobre el real para capturar los datos de la tarjeta

El formjacking se ubica dentro de la categoría más amplia de las técnicas de skimming. Todo ataque de formjacking es un ataque de skimming, pero no todo ataque de skimming usa formjacking. Para un análisis completo de cómo funciona el formjacking a nivel técnico —las rutas de inyección, las señales de detección y los controles de prevención—, consulta nuestra guía completa sobre formjacking.

¿Qué es Magecart?

Magecart no es un único malware ni un único grupo. Es el nombre paraguas que los investigadores de seguridad le dieron al ecosistema difuso de atacantes que ejecutan campañas de digital skimming, originalmente contra tiendas de comercio electrónico Magento (de ahí "Mage"). RiskIQ y otras firmas los rastrearon como grupos numerados, cada uno con su propia infraestructura, estilo de código y selección de objetivos.

Una operación de Magecart suele desarrollarse en cuatro etapas:

  1. Comprometer un script que carga el objetivo, a menudo una etiqueta de terceros (analítica, chat, pruebas A/B) o un archivo JavaScript alojado por el propio sitio
  2. Inyectar un skimmer que se activa en las páginas de checkout o de inicio de sesión
  3. Capturar los datos, con frecuencia usando formjacking, y enviarlos a un dominio del atacante
  4. Monetizar las tarjetas o credenciales robadas

Magecart apunta a quién y a la campaña. El formjacking apunta a cómo se capturan los datos. El digital skimming apunta a el resultado. No son términos que compitan entre sí. Se apilan.

Cómo se relacionan los tres términos: una tabla comparativa

Asignar cada término a la capa que describe ayuda a mantenerlos claros, junto con un ejemplo real y cómo lo detectan los defensores.

TérminoQué esEjemplo del mundo realCómo se detecta
Digital skimmingEl resultado: datos de pago o PII robados mediante código malicioso del lado del clienteBritish Airways 2018, donde el JavaScript inyectado robó datos de tarjetas y puso en riesgo a 429.612 clientesMonitoreo del lado del cliente que señala datos enviados a dominios no autorizados
FormjackingUna técnica: secuestrar o superponer los campos de un formulario para capturar los datos a medida que se escribenSkimmers que se enganchan a los campos del formulario de checkout para copiar los detalles de la tarjeta al enviarDetección en tiempo de ejecución de listeners y cambios inesperados en los campos de formulario
MagecartLos grupos de atacantes y el ecosistema más amplio del e-skimmingGrupos de Magecart vinculados a las filtraciones de British Airways y TicketmasterRastreo de scripts de terceros comprometidos e infraestructura de atacantes conocida

La relación en una sola frase: un grupo Magecart (el actor) ejecuta una campaña de digital skimming (el resultado) que a menudo usa formjacking (la técnica).

Incidentes reales con nombre propio

Dos filtraciones de 2018 siguen siendo los ejemplos canónicos, y muestran cómo encajan las capas.

British Airways (2018). Los atacantes modificaron el JavaScript del flujo de pago de la aerolínea para que los datos de las tarjetas se copiaran a un dominio del atacante mientras las reservas se completaban con normalidad. La filtración puso en riesgo los datos personales de 429.612 clientes entre junio y septiembre de 2018, y RiskIQ y otros investigadores la vincularon con Magecart. La Oficina del Comisionado de Información (ICO) del Reino Unido impuso una sanción de 20 millones de libras en octubre de 2020, reducida desde los 183,39 millones de libras propuestos inicialmente, lo que la convierte en una de las consecuencias regulatorias más citadas del skimming del lado del cliente. (Filtración de datos de British Airways, Wikipedia; The Register)

Ticketmaster (2018). Ticketmaster comunicó inicialmente que aproximadamente 40.000 clientes del Reino Unido se vieron afectados por código inyectado de forma maliciosa en las páginas de pago; el incidente más amplio se evaluó después como capaz de afectar hasta el 5% de su base global de clientes. El skimmer llegó a Ticketmaster a través de un script de un proveedor externo comprometido, en lugar de un compromiso directo del propio código de Ticketmaster. (Magecart, Wikipedia)

Ese detalle sobre los terceros importa. Puedes escribir un código propio impecable y aun así entregar un skimmer a tus usuarios porque un script de un proveedor en el que confías fue comprometido aguas arriba. La mayoría de los equipos cargan decenas de scripts de terceros en páginas sensibles, y cualquiera de ellos es un posible punto de inyección.

Por qué las herramientas del lado del servidor y los WAF no detectan estos ataques

El skimming, el formjacking y Magecart se ejecutan todos en el navegador, después de que tu servidor ya hizo su trabajo. Esa propiedad es la que hace que los controles tradicionales tengan dificultades:

  • Los firewalls de aplicaciones web inspeccionan las solicitudes que llegan a tu origen. Un skimmer lee el campo del formulario y envía los datos directamente a un dominio del atacante, así que el tráfico malicioso nunca pasa por el WAF.
  • Los escáneres del lado del servidor revisan el código que está en tus servidores. Una etiqueta de terceros comprometida se carga desde el dominio del proveedor en tiempo de ejecución, así que nunca está en tu repositorio ni en tu origen para poder escanearla.
  • El monitoreo de red ve tráfico HTTPS cifrado entre el navegador y varios dominios. La exfiltración hacia un dominio del atacante suele parecerse a una baliza de analítica común y corriente.

El Data Breach Investigations Report de Verizon ha señalado en repetidas ocasiones los ataques a aplicaciones web y el abuso de código de terceros como un vector de filtración predominante, y la respuesta de los organismos de estándares confirma dónde está el vacío. (Verizon DBIR) PCI DSS 4.0.1 añadió los requisitos 6.4.3 y 11.6.1 para abordar directamente el riesgo del lado del cliente: las organizaciones deben gestionar y monitorear cada script en las páginas de pago y detectar cambios no autorizados en esas páginas. (PCI Security Standards Council) Esos requisitos existen porque Magecart demostró que la seguridad del lado del servidor no es suficiente.

Cómo el monitoreo del lado del cliente detecta el skimming en tiempo real

Si el ataque se ejecuta en el navegador, la defensa tiene que ver el navegador. El monitoreo del lado del cliente observa cada script a medida que se ejecuta para el usuario, que es el único lugar donde un skimmer se delata. Una detección eficaz cubre:

  • Inventario de scripts y detección de cambios. Conoce cada script que se ejecuta en las páginas sensibles y recibe una alerta en el momento en que se agrega, modifica o empieza a comportarse de forma diferente.
  • Comportamiento de los campos de formulario. Señala listeners inesperados adjuntos a las entradas, superposiciones colocadas sobre los campos de pago y código que lee valores de formulario que no debería tocar.
  • Monitoreo de exfiltración. Detecta datos enviados a dominios que no están en tu lista de permitidos, que es la jugada característica de un skimmer.

cside opera en esta capa. Analiza los scripts y monitorea el comportamiento en tiempo de ejecución para detectar Magecart en tiempo real, de modo que un script de terceros manipulado se atrapa cuando cambia, y no semanas después, cuando las tarjetas ya se vendieron. Para las páginas de pago, PCI Shield asigna este monitoreo a los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1, y la solución más amplia de seguridad del lado del cliente cubre el inicio de sesión y otros flujos sensibles. Es el control en sí mismo que necesitas para proteger los scripts de terceros que cargan en esas páginas.

Para una visión más amplia del panorama de herramientas, consulta nuestra guía de herramientas de seguridad del lado del cliente.

Uniendo las piezas

El formjacking, Magecart y el digital skimming no son tres problemas separados que necesiten tres productos separados. Son tres vistas de una misma amenaza que vive en el navegador: el actor, la técnica y el resultado. Defenderse de todos ellos se reduce a una sola capacidad: visibilidad en tiempo real de lo que hace cada script en los navegadores de tus usuarios.

Los controles del lado del servidor siguen siendo necesarios, pero son ciegos a la capa donde operan estos ataques. Los equipos que detectan a los skimmers a tiempo son los que observan el comportamiento de los scripts en tiempo de ejecución, lo comparan con una línea base de buen funcionamiento conocido y alertan en el momento en que un script de confianza empieza a hacer algo que nunca había hecho antes.

Solicita una demo para ver cómo cside detecta el formjacking, Magecart y el digital skimming en tus páginas en vivo, o explora el panorama más amplio de herramientas en nuestra guía de herramientas de seguridad del lado del cliente.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

El digital skimming es el resultado: robar datos de pago o personales de un sitio mediante código malicioso del lado del cliente. El formjacking es una técnica habitual para lograrlo, que secuestra o superpone los campos de un formulario para capturar los datos a medida que el usuario los escribe. Magecart es el nombre que los investigadores de seguridad le dan a los grupos de atacantes y al ecosistema más amplio del e-skimming. En la práctica, un grupo Magecart ejecuta una campaña de digital skimming que a menudo usa formjacking para capturar los datos.

No. El formjacking es una técnica. Magecart es un nombre para los grupos y el ecosistema detrás de muchas campañas de skimming. Un actor de Magecart puede usar formjacking, pero el skimming también funciona leyendo solicitudes de red, raspando el DOM o enganchándose a los event listeners. Los términos se solapan en la prensa, pero describen capas distintas: quién ataca (Magecart), cómo capturan los datos (formjacking) y cuál es el resultado (digital skimming).

Investigadores de RiskIQ y otros vincularon la filtración de British Airways de 2018 con Magecart. Los atacantes modificaron el JavaScript del flujo de pago de la aerolínea para que los datos de las tarjetas se copiaran a un dominio del atacante mientras las reservas se completaban con normalidad. La filtración puso en riesgo los datos personales de 429.612 clientes, y la ICO del Reino Unido impuso una sanción de 20 millones de libras en octubre de 2020 (reducida desde los 183,39 millones de libras propuestos inicialmente). Sigue siendo uno de los ejemplos más citados de digital skimming del lado del cliente.

El skimming y el formjacking se ejecutan en el navegador del usuario, después de que el contenido sale de tu servidor. Un firewall de aplicaciones web inspecciona las solicitudes que llegan a tu origen, pero un skimmer puede leer el campo del formulario y enviar los datos directamente a un dominio del atacante sin pasar nunca por tu backend. Los controles del lado del servidor no tienen visibilidad sobre cómo se comporta el JavaScript en tiempo de ejecución en el navegador, que es exactamente donde operan estos ataques.

Se detectan con monitoreo del lado del cliente que observa cada script a medida que se ejecuta en el navegador. Una detección eficaz señala scripts de terceros nuevos o modificados, listeners inesperados en los campos de formulario y datos que se envían a dominios no autorizados. cside analiza los scripts y monitorea el comportamiento en tiempo de ejecución, de modo que un script de terceros manipulado se detecta cuando cambia, y no semanas después tras una filtración.

Sí. Los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1 exigen que las organizaciones gestionen y monitoreen los scripts que se ejecutan en las páginas de pago y que detecten cambios no autorizados en esas páginas. Estos requisitos existen en gran medida a causa del skimming de tipo Magecart, e impulsan a los equipos hacia el monitoreo continuo de scripts del lado del cliente en lugar de revisiones manuales periódicas.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo