Blog Attacks

Los mayores ataques Magecart de la historia (hasta ahora)

De dónde proviene el término "Magecart" Los ataques Magecart son un tipo de ciberataque donde los hackers inyectan código JavaScript malicioso, a menudo r

Oct 17, 2024 • 14 min read

Simon Wijckmans Founder & CEO

the-biggest-magecart-attacks-image-cover

De dónde proviene el término "Magecart"

Los ataques Magecart son un tipo de ciberataque donde los hackers inyectan código JavaScript malicioso, a menudo referido como scripts de "skimming", en sitios web. Puede ser cualquier tipo de sitio web, pero cuando se habla de Magecart, casi exclusivamente son sitios de comercio electrónico para intentar capturar detalles de tarjetas de crédito.

El término "Magecart" se origina de la combinación de "Magento", una popular plataforma de comercio electrónico de código abierto, y "cart", que se refiere a la función de carrito de compras en estos sitios web. La ola inicial de ataques se dirigía a sitios web basados en Magento, lo que llevó a la creación del término.

Estos tipos de ataques también caen bajo el término general de "ataques del lado del cliente" y "ataques a la cadena de suministro web".

Evolución hacia un término genérico

Con el tiempo, "Magecart" evolucionó de referirse a un grupo específico de hackers a convertirse en un término general utilizado para describir un estilo más amplio de ataques:

Imitadores: A medida que los métodos del grupo original de Magecart demostraron ser efectivos, otros grupos cibercriminales adoptaron técnicas similares.
Expansión: Mientras que los primeros ataques Magecart se enfocaban principalmente en sitios Magento, el alcance se ha ampliado significativamente. Los atacantes ahora se dirigen a una variedad de sistemas de gestión de contenido (CMS) y plataformas de comercio electrónico, como WooCommerce, PrestaShop, Shopify y sitios web personalizados.
Siempre scripts de terceros: Los ataques Magecart modernos a menudo explotan vulnerabilidades en servicios de terceros integrados en sitios web, como widgets de chat, scripts de análisis o procesadores de pago. Este cambio en las tácticas de atacar solo las plataformas de comercio electrónico en sí mismas a atacar el ecosistema web más amplio contribuyó a la aplicación más amplia del término.
Mayor conciencia pública: Incidentes de alto perfil que involucraron a marcas importantes como British Airways, Ticketmaster y Newegg trajeron una atención mediática significativa a los ataques Magecart. A menudo los artículos mencionan el nombre como referencia, aunque no necesariamente sea un ataque "Magecart" en el sentido original de la palabra.

En general, cuando alguien menciona Magecart, piensa en skimming digital.

Los mayores ataques Magecart hasta ahora

Tengamos en cuenta que estos son los ataques Magecart que conocemos actualmente. Es probable que haya muchos más ocurriendo en este momento. Si descubrimos ataques adicionales, actualizaremos esta publicación.

Los hemos clasificado ampliamente según las personas afectadas, las implicaciones financieras, la cobertura mediática y el daño reputacional.

1. British Airways

Este es a menudo considerado el ataque Magecart más grande y de mayor perfil. También es el que citamos con más frecuencia. En parte, porque compramos el dominio utilizado en ese ataque, baways.com (seguro ahora), y contamos la historia completa del ataque allí.

Página educativa que ahora se ejecuta en el dominio baways.com

Aunque nos gustaría decir que tuvimos que pasar por algunos esquemas elaborados para obtenerlo, simplemente lo compramos en un registro público. Lee esa historia aquí.

En este ataque, el dominio fue comprado por los atacantes e insertado en un script de terceros manipulado para permanecer bajo el radar por más tiempo. Después de todo, BAWAYS suena como un dominio legítimo de British Airways.

Pero en otros casos, los dominios expirados o vendidos que aparecen en scripts de terceros tienen un camino directo para explotar muchos sitios web de una sola vez. Aunque no es un ataque Magecart, el reciente ataque de Polyfill nos mostró por qué es importante proteger tu sitio contra esto.

El hackeo de British Airways (BA) de septiembre de 2018, fue un ataque Magecart bastante sofisticado que comprometió la información personal y financiera de alrededor de 380,000 personas. Los hackers explotaron vulnerabilidades en el sistema de pago en línea de British Airways inyectando código JavaScript malicioso en el sitio web y la aplicación móvil de la aerolínea. Este código fue diseñado específicamente para capturar información de pago en tiempo real mientras los clientes ingresaban sus detalles en la página de pago.

Los datos robados incluían nombres, direcciones de correo electrónico y detalles completos de tarjetas de crédito, incluidos los códigos CVV, lo que los hacía altamente valiosos para actividades fraudulentas. Y, el ataque pasó desapercibido durante más de dos semanas, permitiendo a los atacantes tiempo suficiente para recopilar información sensible de los clientes.

Esta violación tuvo repercusiones significativas para British Airways, tanto financiera como reputacionalmente. La Oficina del Comisionado de Información del Reino Unido (ICO) multó a British Airways con £20 millones ($26 millones) y la violación también llevó a críticas generalizadas de las prácticas de ciberseguridad de British Airways.

2. Ticketmaster

Este ataque afectó a aproximadamente 40,000 clientes pero fue significativo debido a la participación de un proveedor de servicios de terceros (Inbenta).

Nuevamente, los atacantes inyectaron código JavaScript malicioso en este widget de terceros, permitiéndoles extraer los detalles de tarjetas de crédito de los clientes, nombres, direcciones y otra información sensible mientras se procesaban las transacciones en el sitio de Ticketmaster. El código malicioso permaneció sin detectar durante varios meses, durante los cuales los atacantes recopilaron valiosos datos de clientes.

Como resultado, Ticketmaster enfrentó críticas por no verificar adecuadamente a sus socios de terceros y por la demora en detectar y responder a la violación.

En mayo de 2024 experimentamos un poco de déjà vu cuando surgieron noticias de otro incidente de Ticketmaster que tenía un parecido sorprendente con la infame violación de datos de 2018.

Este nuevo incidente fue algo similar al primero, ya que Ticketmaster confirmó actividad no autorizada dentro de un entorno de base de datos en la nube de terceros, afirmando haber expuesto la información personal de más de 500 millones de clientes. Aquí está nuestro análisis completo de esta última violación de Ticketmaster.

3. Newegg

El hackeo de Newegg es uno de esos ataques Magecart clásicos de los que la gente todavía habla. Este fue bastante astuto y mostró cuán ingeniosos podían ser los atacantes. También en 2018, los hackers lograron deslizar código JavaScript malicioso directamente en la página de pago del sitio web de Newegg. ¿Su objetivo? Lo adivinaste, extraer información de tarjetas de crédito de los clientes mientras realizaban compras. El ataque también pasó desapercibido durante más de un mes, lo que dio a los atacantes mucho tiempo para recopilar una buena cantidad de datos sensibles.

Lo que hizo particularmente interesante este ataque fue la forma en que operaron los hackers. No atacaron directamente el sitio principal de Newegg; en cambio, imitaron el propio script de procesamiento de pagos de Newegg para hacer que su código malicioso se mezclara casi perfectamente. Fue un movimiento inteligente que les permitió pasar desapercibidos durante tanto tiempo. Los datos robados incluían todo, desde nombres y direcciones hasta números de tarjetas de crédito y códigos CVV.

Aunque la respuesta de Newegg al ataque no fue tan rápida como algunos podrían haber esperado, el incidente ciertamente puso el foco en la necesidad de prácticas de seguridad más vigilantes, especialmente en torno a las páginas de pago. Es una de las razones por las que los requisitos actualizados de PCI DSS 4.0 incluyen la protección de scripts en páginas de pago, infórmate sobre eso si los clientes realizan pagos en tu sitio.

4. Múltiples sitios Magento

En lugar de ir tras un pez grande, los atacantes optaron por la cantidad entre 2020 y 2021, explotando vulnerabilidades en más de 2,000 sitios de comercio electrónico Magento. La estrategia fue simple pero efectiva: usar fallas conocidas en instalaciones de Magento desactualizadas para inyectar scripts de skimming en páginas de pago y capturar información de tarjetas de crédito mientras los clientes desprevenidos realizaban sus compras.

Lo fascinante aquí es el alcance absoluto de este ataque. No se trataba solo de atacar algunos sitios; se trataba de aprovechar una vulnerabilidad generalizada para impactar a un número masivo de negocios a la vez.

Este tipo de ataque es particularmente preocupante para las pequeñas y medianas empresas, que a menudo no tienen el mismo nivel de seguridad que los grandes jugadores. Y para aquellos que todavía ejecutan versiones antiguas de Magento, esto fue una llamada de atención.

Uno de los ataques Magecart de Magento más recientes y grandes ocurrió a Segway en 2022. Los atacantes se dirigieron a vulnerabilidades en el CMS mismo o en uno de los plugins instalados en el sitio de Segway. Después de violar eso, nuevamente agregaron JavaScript malicioso. Aquí, parecía mostrarse como el copyright del sitio, pero en realidad se usaba para cargar un favicon externo.

Dentro de ese archivo favicon, se colocó un dominio malicioso que cargaba código externo para extraer información de pago de clientes desprevenidos. Lee nuestro artículo completo sobre ese ataque aquí.

5. Volusion

El hackeo de Volusion en 2019-2020 es otro ataque Magecart que ilustra perfectamente los peligros de las vulnerabilidades de la cadena de suministro. Esta vez, los atacantes fueron tras Volusion, un proveedor de plataforma de comercio electrónico que impulsa miles de tiendas en línea.

Al comprometer la infraestructura de Volusion misma, los hackers pudieron inyectar su JavaScript malicioso en un archivo JavaScript servido a todos los sitios web que usan los servicios de Volusion. No tuvieron que dirigirse a tiendas individuales una por una, solo necesitaban colarse a través del proveedor de la plataforma y tenían acceso a las páginas de pago de todas esas tiendas de una sola vez.

El impacto fue enorme, afectando a innumerables pequeñas y medianas empresas que dependían de Volusion para ejecutar sus operaciones de comercio electrónico. Los clientes que compraban en estas tiendas tuvieron sus detalles de tarjetas de crédito extraídos, que nuevamente incluían nombres, números de tarjeta, fechas de vencimiento y CVV.

Cuando tu negocio depende de un proveedor de servicios, sus vulnerabilidades se convierten en tus vulnerabilidades.

Lo que aprendimos sobre Magecart hasta ahora

Veamos algunos temas comunes en estos tres mayores ataques Magecart:

Siempre se dirigen a herramientas de terceros activas en sitios (más a menudo scripts de terceros).
Los ataques siempre permanecen sin detectar por un tiempo
Siempre buscan sitios donde personas regulares compran en línea

Así que si administras un sitio con esas características, las alarmas deberían estar sonando ahora mismo. Puedes proteger tus scripts de terceros y evitar que estos ataques ocurran.

Más ataques Magecart

Veamos algunos ataques Magecart más notables:

Warner Music Group

El hackeo de Warner Music Group en 2020 fue otro ataque notable de estilo Magecart que abarcó varios meses, impactando múltiples sitios de comercio electrónico asociados con esta importante discográfica. Los hackers inyectaron scripts maliciosos en las páginas de pago de las tiendas en línea de Warner Music, permitiéndoles extraer información de pago de clientes que compraban mercancía y productos digitales.

Sitios web de Claire's e Icing

Claire's, el popular minorista de accesorios y joyería, tuvo un año difícil en 2020 cuando fue víctima de no uno, sino dos ataques Magecart. Después de ser violada inicialmente, la compañía pensó que tenía la situación bajo control, pero los atacantes lograron reinfectar sus sitios web poco después del primer ataque.

American Cancer Society

La violación de la American Cancer Society en 2019 golpeó particularmente fuerte, y muestra que ni siquiera las organizaciones sin fines de lucro están a salvo de los ataques Magecart. Cualquier organización o sitio web con información puede, y será, atacado.

Los atacantes inyectaron código JavaScript malicioso en la página de donaciones del sitio web de la organización, con el objetivo de robar información de tarjetas de crédito de los donantes.

Macy's

Los atacantes lograron comprometer el sistema de pago en línea de la tienda departamental estadounidense, inyectando código malicioso para robar información de pago directamente de los clientes durante el proceso de pago. Aunque el número de clientes afectados fue menor en comparación con algunos de los otros ataques Magecart, el momento fue particularmente impactante ya que ocurrió durante un período de ventas significativo, justo cuando los compradores acudían en masa al sitio en busca de ofertas.

Regal Cinemas

El ataque Magecart a Regal Cinemas en 2022 volvió a poner el foco en el sector del entretenimiento, que, hasta entonces, no se asociaba comúnmente con tales violaciones. Los atacantes se dirigieron a la plataforma de venta de boletos en línea de Regal, incrustando scripts maliciosos para capturar información de pago de clientes que compraban boletos. Bastante similar al ataque de Ticketmaster.

NutriBullet

NutriBullet, famosa por sus licuadoras y gadgets de cocina, se encontró en la lista de víctimas de Magecart a principios de 2021. Los hackers inyectaron JavaScript malicioso en la página de pago del sitio web de NutriBullet, extrayendo detalles de tarjetas de crédito de clientes durante varias semanas.

Chinavasion

Chinavasion, una conocida plataforma de comercio electrónico china especializada en electrónica, fue golpeada por un ataque Magecart en 2023. Este incidente también se dirigió a las páginas de pago para capturar detalles de pago de clientes internacionales. Aunque la violación no fue tan grande como algunas de las otras en esta lista, fue significativa debido a la amplia base de clientes de Chinavasion que abarca múltiples países.

Dick's Sporting Goods

En 2023, Dick's Sporting Goods se encontró entre la lista de víctimas de Magecart cuando los atacantes lograron inyectar scripts maliciosos en su página de pago. La violación impactó a un gran número de clientes, pero la escala y las consecuencias financieras fueron relativamente menos severas en comparación con algunos de los ataques más extensos en esta lista.

Marriott Hotels

Marriott Hotels agregó otro capítulo a su problemática historia con violaciones de datos en 2023 cuando su sistema de reservas en línea fue atacado por atacantes Magecart. Los hackers inyectaron scripts de skimming para robar información de tarjetas de crédito de clientes que reservaban habitaciones en línea.

Hay un aumento en la preocupación por estos tipos de ataques dirigidos a sitios web de la industria hotelera y de ocio. El tiempo dirá si ocurren más ataques en este espacio.

Aquí hablamos sobre ataques del lado del cliente específicamente en la industria hotelera.

Billeteras digitales e intercambios de criptomonedas

De 2022 a 2024, los atacantes Magecart dirigieron su enfoque a billeteras digitales e intercambios de criptomonedas, marcando un cambio en sus objetivos típicos. Al inyectar scripts maliciosos en billeteras web y plataformas de intercambio, pudieron extraer no solo detalles de tarjetas de crédito sino también activos digitales como criptomonedas.

Durante nuestra fase beta, múltiples compañías de criptomonedas e intercambios nos contactaron para trabajar juntos en una versión temprana de un alcance de producto ampliado para proteger sus sitios. Es una preocupación real en esta industria.

Aquí está la historia del ataque event-stream de Copay que también ocurrió en el espacio cripto. El código malicioso ejecutaría rutinas que buscaban y extraían claves privadas y detalles de billeteras de cuentas que contenían cantidades sustanciales de Bitcoin y Bitcoin Cash. Estos detalles luego se transmitían a un servidor remoto controlado por los atacantes.

Algunas menciones finales:

Soccer[.]com
Shopify
Olympus
Tupperware
Fujifilm
Boom! Mobile
Procter & Gamble
Smith & Wesson
Puma
Crucial (Micron)
Elekta

Cómo proteger tu sitio contra ataques Magecart

Al igual que cubrimos en la sección "Lo que aprendimos sobre Magecart hasta ahora", JavaScript de terceros está involucrado. Estos scripts se cargan del lado del cliente (es decir, en el navegador del usuario), no por el servidor del sitio web. Y, son dinámicos. Lo que significa que pueden cambiar lo que sea, cuando sea, e incluso basándose en parámetros como el dispositivo del usuario, ubicación y más.

Hemos construido cside para proteger estos scripts contra cualquier cosa maliciosa. Los cargamos en un proxy antes de que ejecuten su código en el navegador del usuario, y los bloqueamos si es necesario para proteger completamente a los visitantes del sitio web. Por supuesto, también alertando al propietario del sitio web para que pueda inspeccionar y eliminar el código si es necesario.

Puedes comenzar y proteger tu sitio gratis en minutos. Por supuesto, hay otras herramientas disponibles, por favor visita nuestra página de comparación para ver cómo nos comparamos con la competencia.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La brecha de British Airways en 2018 sigue siendo la más citada. Los atacantes inyectaron un skimmer en la página de reservas y exfiltraron datos de tarjeta de unas 380.000 transacciones. La ICO propuso inicialmente una multa récord antes de reducirla.

El skimmer suele cargarse desde un script de terceros antes confiable o desde un dominio similar recién registrado. Las defensas de capa de red no ven qué se ejecuta dentro del navegador, justo donde se capturan los datos de la tarjeta.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.