Blog

¿Qué son los skimmers digitales?

Recientemente, conocimos una nueva campaña de ciberataques de gran envergadura que afectó a cientos de tiendas en línea, aprovechando vulnerabilidades en scripts y plugins de terceros. Este es un ejemplo perfecto de un 'skimmer digital'. Los skimmers digitales son fragmentos de código inyectados de forma maliciosa en sitios web legítimos. Su objetivo es obtener información personal y de tarjetas de crédito. Este problema está en aumento y es parte de la razón por la que se creó cside. Nuestro proxy es capaz de detectar este código malicioso y evitar que afecte

Aug 29, 2024 • 4 min read

Simon Wijckmans Founder & CEO

Recientemente, conocimos una nueva campaña de ciberataques de gran envergadura que afectó a cientos de tiendas en línea, aprovechando vulnerabilidades en scripts y plugins de terceros.

Este es un ejemplo perfecto de un 'skimmer digital'.

Los skimmers digitales son fragmentos de código inyectados de forma maliciosa en sitios web legítimos. Su objetivo es obtener información personal y de tarjetas de crédito.

Este problema está en aumento y es parte de la razón por la que se creó cside. Nuestro proxy es capaz de detectar este código malicioso y evitar que afecte a los usuarios de los sitios web.

Este código se carga en el lado del cliente (el navegador) del usuario, en lugar de en el servidor del sitio web. Esto lo hace especialmente difícil de detectar, ya que la mayoría de los sitios web no cuentan con una herramienta como cside para proteger la experiencia del lado del cliente de sus usuarios.

La mayoría de nuestros competidores analizan este código después de que se ha cargado en el navegador del usuario, sin prevenir el ataque, sino simplemente alertando al sitio web que lo facilita. Nosotros cargamos todos los scripts primero en un proxy y, una vez que se consideran seguros, los servimos al usuario. También optimizamos los scripts cuando es posible para servirlos más rápido que una red de distribución de contenidos (CDN), mitigando cualquier problema de latencia. De hecho, a menudo aumentamos la velocidad de entrega de estos scripts.

Qué ocurrió en este ataque

Este ataque fue divulgado por MalwareBytes y era, hasta ahora, el más reciente de una serie de ataques ejecutados en sitios de comercio electrónico que utilizan Magento.

No informamos sobre esto ya que ninguno de nuestros usuarios utiliza Magento actualmente.

En otras noticias, recientemente notamos que Malwarebytes(.)fr fue configurado como una página de venta de dominio con un registrador de IP, que enviaba esa información a un webhook de Discord. Fue eliminado o baneado rápidamente de Discord. Lee aquí por qué los dominios caducados pueden ser un problema enorme y se utilizan con frecuencia en este tipo de ataques.

Aquí hay evidencia de ese webhook:

Volviendo al tema.

Un ataque a la cadena de suministro web como este ocurre porque los atacantes vulneran Magento (o un plugin de Magento) e insertan de forma remota una sola línea de JavaScript. En la mayoría de estos casos, y también en este más reciente, los atacantes modifican un script legítimo para pasar desapercibidos el mayor tiempo posible.

El código también está ofuscado para dificultar aún más la comprensión de lo que se está ejecutando. Esta es una técnica legítima de protección de código que las empresas utilizan habitualmente para evitar que su código sea copiado o manipulado.

A partir de ahí, el ataque es bastante sencillo. El código carga una función que extrae información del sitio en el que se ha insertado y la envía a todo tipo de formularios. El dominio dentro del código malicioso la recibe y los atacantes obtienen esa información.

En este ataque, el objetivo era la información de tarjetas de crédito de personas que realizaban compras en línea sin sospechar nada. Esas personas tienen muy poco margen de acción, pero los sitios web donde ocurre el ataque son responsables y suelen recibir multas de PCI DSS y, en ocasiones, demandas judiciales.

En este caso, el flujo de pago fue interrumpido durante el proceso de compra. Se insertó un marco falso de métodos de pago y los usuarios completaron ese formulario en lugar del real. Esto se logró mediante una simple etiqueta de imagen incluida en una única línea de JavaScript.

Esto tendría el siguiente aspecto: {domain}.{shop|online)/img/

Los dominios maliciosos identificados en estos ataques hasta ahora incluyen:

codcraft(.)shop
codemingle(.)shop
datawiz(.)shop
deslgnpro(.)shop
happywave(.)shop
luckipath(.)shop
pixelsmith(.)shop
salesguru(.)online
statlstic(.)shop
statmaster(.)shop
trendset(.)website
vodog(.)shop
artvislon(.)shop
statistall(.)com
analytlx(.)shop

Este es otro ataque más en una serie que pone de manifiesto la necesidad inmediata de que las empresas protejan la experiencia del lado del cliente de sus usuarios. Si los sitios hubieran instalado una herramienta como cside, sus usuarios habrían estado protegidos.

La regulación ya está aquí

A partir de marzo de 2025, PCI DSS 4.0 exige que los sitios web con procesos de pago en línea supervisen los scripts de terceros en sus páginas de pago.

Nosotros abogamos por no solo monitorizar, sino también proteger estos scripts para estar completamente seguros. Escribimos aquí sobre el riesgo de proteger únicamente las páginas de pago y no el sitio web completo. Los atacantes simplemente se adaptarán y, con una respuesta rápida, es probable que los ataques sigan ocurriendo.

Ten en cuenta que al usar cside, la totalidad de tu sitio web está protegida.

Puedes empezar gratis y estar protegido en minutos.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Detección de account sharing: cómo cerrar la brecha de aplicación que los límites de sesiones concurrentes no cubren

Los límites de sesiones concurrentes marcan el caso obvio.

Cómo Bloquear Applebot-Extended en Tu Sitio Web

Applebot-Extended es el rastreador de entrenamiento de IA de Apple que alimenta Apple Intelligence. Aprende en qué se diferencia de Applebot y cómo excluirte vía robots.txt.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre monitoreo de scripts de terceros en dominios de casino

Cómo monitorear scripts de terceros en 100 o más dominios de casino

Guía práctica para monitorear scripts de terceros en 100+ dominios de casino: expansión de scripts, alertas entre dominios y escalamiento cside.

Riesgos de seguridad de la IA agéntica para sitios web: privacidad, cumplimiento y detección

Los navegadores de IA agéntica omiten el consentimiento de cookies, ejecutan JavaScript real y crean brechas de cumplimiento del RGPD que la detección de bots a nivel CDN no puede ver.

Ilustración de un sistema neuronal de detección de bots en dos etapas que separa sesiones de navegador humanas y de bots

Cazar bots que no quieren ser cazados: por dentro de un stack neuronal de detección en dos etapas

Cómo un stack neuronal de dos etapas caza stealth browsers, scrapers con proxy residencial y agentes LLM que pasan toda huella, y sus límites reales.

Cómo Bloquear DeepSeekBot en Tu Sitio Web

DeepSeekBot rastrea tu sitio para una empresa china de IA. Aprende a bloquearlo con robots.txt, reglas de IP y los riesgos reales de soberanía de datos que plantea.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre cumplimiento de scripts ante la Malta Gaming Authority

Cumplimiento de la Malta Gaming Authority y seguridad de scripts del lado del cliente: lo que los operadores con licencia MGA necesitan cubrir

Las reglas de MGA exigen una plataforma segura y auditable. El JavaScript de terceros es una brecha que la mayoría no ha auditado.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre ataques de scripts de terceros en plataformas de iGaming

Ataques de scripts de terceros en plataformas iGaming en 2026: la nueva superficie de ataque que los operadores pasan por alto

JavaScript de terceros es la mayor superficie de ataque sin supervisar en iGaming. Siete clases de ataque y por qué las herramientas no las detectan.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.