En enero de 2022, la tienda web de Segway sufrió un ataque a la cadena de suministro web, también conocido como ataque Magecart. En este tipo de ataques, se añade código JavaScript malicioso que se carga desde el lado del cliente, conocido como scripts de terceros.
Muchas herramientas comunes son scripts de terceros: analíticas, captchas y más. Pero esta vía también puede utilizarse con fines maliciosos, como fue el caso aquí.
En este ataque a Segway, su tienda está montada sobre Magento. Los atacantes aprovecharon vulnerabilidades en el propio CMS o en alguno de los plugins instalados en el sitio de Segway. Tras conseguir acceso, añadieron el JavaScript que aparentaba mostrar el copyright del sitio, pero que en realidad se usaba para cargar un favicon externo.
Dentro de ese archivo favicon se ocultaba un dominio malicioso, booctstrap[.]com. Como puede verse en esta imagen de Malwarebytes, quienes destaparon el ataque:
Ese dominio cargaba el código JavaScript malicioso de terceros, cuyo objetivo era capturar los datos de tarjetas de crédito de los usuarios.
Algo similar se vio más recientemente en el ataque a Polyfill de 2024.
Cómo no protegerse contra esto
Las listas de amenazas siguen siendo la solución más utilizada para resolver este problema, pero no son el enfoque más adecuado. En esencia, no pueden detectar lo que no conocen. Los atacantes registran un nuevo dominio y, sin necesidad de reescribir ningún código, el ataque vuelve a estar activo. Durante días, o a veces semanas, hasta que se detecta de nuevo y las listas de amenazas actualizan sus registros.
cside fue diseñado para detener estos ataques a la cadena de suministro web antes de que ocurran.
Al colocar estos scripts de terceros en un proxy y analizar el payload completo del código antes de que se cargue, detectamos código malicioso como el de este ejemplo. Lo bloqueamos, evitando que afecte al usuario, y alertamos al propietario del sitio web sobre el posible ataque.
Además, guardamos el código de los scripts para que el propietario del sitio pueda revisarlo después del incidente y resolver el problema de raíz.
Se presta demasiado poca atención a estos ataques del lado del cliente. Si otras medidas de seguridad fallan, como ocurrió en el caso de Segway, este ataque podría haberse detectado igualmente. Monitorizando exactamente lo que ocurre en el navegador del usuario, la exfiltración de datos debería haberse identificado y prevenido.
Regulación
Como se ve en este caso, el comercio electrónico es un objetivo frecuente. Y la regulación está avanzando: PCI DSS 4.0 exige ahora la monitorización de scripts de terceros en páginas de pago (a partir de marzo de 2025). Aunque lo celebramos, te instamos a aplicarlo en todas las páginas de tu sitio web. En abril de 2024, explicamos en detalle por qué no hacerlo sigue exponiendo tu sitio a un riesgo significativo.
Además de otros problemas explicados en ese artículo, los actores maliciosos podrían aprovechar scripts comprometidos en tu sitio para secuestrar sesiones de usuario, suplantar identidades y realizar acciones no autorizadas. Potencialmente eludiendo la autenticación de dos factores y, de ese modo, saltándose también la protección de tu portal de pagos.
Puedes usar cside para monitorizar scripts en todas las páginas y cumplir con esa parte de PCI DSS 4.0. Y puedes proteger tu sitio contra este tipo de ataques con cside.
