Blog

Qué es el e-skimming | Guía y consejos de prevención

El e-skimming roba información de tus visitantes antes de que las herramientas de seguridad tradicionales puedan protegerlos. Aprende cómo funciona el web skimming y cómo prevenirlo.

Jan 29, 2026 • 10 min read

Juan Combariza Growth Marketer

Qué es el web skimming - Guía y consejos de prevención - portada del blog

Resumen

El e-skimming es un ciberataque en el que se inyecta código en el sitio web de un comerciante. Los usuarios que visitan una página de pago tienen su información robada por código malicioso que observa y "skimea" los datos de la tarjeta que se introducen.
El e-skimming captura los datos antes o durante el envío del pago. La información se roba antes de que llegue al perímetro de cifrado o a la seguridad del servidor.
Para prevenir el e-skimming, utiliza una herramienta como cside que monitoriza el comportamiento de los scripts de terceros y te alerta ante actividad sospechosa.
Como alternativa, usa controles del navegador como CSP y SRI para limitar manualmente qué scripts de terceros pueden acceder a las páginas de pago.

¿Qué es el e-skimming?

Diagrama: Cómo funcionan los ataques de web skimming

E-skimming: El e-skimming (también conocido como "web skimming") es un ciberataque en el que un actor malicioso inyecta un fragmento de código en el sitio web de un comerciante. Cuando un usuario visita la página de pago, el código malicioso monitoriza los campos del formulario para capturar los datos de la tarjeta, que luego se envían a un servidor controlado por el atacante para su uso fraudulento.

A modo de comparación, el skimming físico de tarjetas ocurre cuando se coloca un dispositivo en un cajero automático o en un teclado de pago. Un cliente desprevenido usa su tarjeta para realizar una compra, el dispositivo captura la información de la tarjeta de crédito y el PIN introducidos. El dispositivo está diseñado para pasar desapercibido ante el personal de la empresa.

De manera similar, las inyecciones de código de e-skimming están diseñadas para ser invisibles. A menudo permanecen en las páginas de pago durante semanas (y en algunos casos meses) antes de que los propietarios del sitio web se den cuenta.

Qué datos se atacan en los ataques de e-skimming

Tipo de dato	Precio medio en la dark web
Tarjeta de crédito de EE. UU.	$10 a $100
Cuenta de Gmail	$60
Credenciales de acceso bancario	$200 a $1,000
Credenciales de acceso corporativo	$100 a $10,000

Tabla con los valores medios de datos personales vendidos en la dark web. La información de la tabla se basa en un informe de DeepStrike que agregó datos de Trustwave, SOCRadar y Privacy Affairs.

Aunque el e-skimming se refiere más comúnmente al robo de información de tarjetas de crédito, el web skimming también puede referirse de forma más amplia a ataques que tienen como objetivo esta información:

Credenciales de inicio de sesión (nombre de usuario, correo electrónico, contraseña)
Información personal (dirección, nombre completo, números de teléfono)

¿Es el e-skimming un ataque del lado del cliente?

Sí. El web skimming, e-skimming o digital skimming (distintos nombres para el mismo vector de amenaza) son una forma de ataque del lado del cliente.

Suelen ser ataques bien preparados y sofisticados, con la especialidad de ciertas comunidades de hackers que llevan a cabo ataques Magecart.

Existen otros ataques del lado del cliente, como el phishing con superposiciones de interfaz de usuario o páginas de pago falsas.

Durante el web skimming, los atacantes canalizan los datos robados hacia su propio servidor, normalmente a través de un dominio que se asemeja mucho al del comerciante legítimo. Este tipo de ataque se utilizó contra Ticketmaster y British Airways, entre otros.

¿Qué sitios web son vulnerables al e-skimming?

Cualquier sitio web que trabaje con scripts de terceros, especialmente cuando se ejecutan en páginas de inicio de sesión o de pago. Los sitios construidos sobre Magento, WooCommerce u otras plataformas low-code son especialmente vulnerables.

Aunque las propias plataformas son seguras y sus equipos de seguridad trabajan activamente para parchear las vulnerabilidades conocidas, estas plataformas son utilizadas con frecuencia por usuarios no técnicos que tienen menos probabilidades de detectar un ataque en curso.

Previene el e-skimming con la seguridad automatizada del lado del cliente de cside

Cómo funciona el e-skimming y dónde falla la seguridad

Para entender cómo operan los e-skimmers, hay que analizar cómo funcionan los pagos en línea.

Cuando los compradores han llenado su carrito y están listos para hacer el pedido, llegan a la página de pago. Allí rellenan los campos del formulario. Una vez enviado el pago, los datos se cifran y se envían al comerciante y al emisor de la tarjeta. Si la transacción es aprobada, comienza el proceso de cumplimiento.

En cuanto se envía el pago, la información queda protegida por cifrado, controles del servidor, seguridad de API y toda una serie de procesos de defensa. Desafortunadamente, el e-skimming captura la información antes o durante el envío del pago. El código malicioso escucha las pulsaciones de teclas mientras el usuario está introduciendo la información.

Cómo los hackers inyectan código de e-skimming

Diagrama: Puntos de entrada y brechas comunes en ataques de web skimming — Diagrama: Puntos de entrada comunes en ataques de web skimming

Cuando un usuario visita una página de tu sitio web, su navegador carga una combinación de código. Parte es código propio que tu equipo creó (o escrito por la plataforma que utilizas, como Shopify o WooCommerce). Pero tu sitio web también sirve código de terceros.

Para los sitios de comercio electrónico, esto incluye plugins y scripts de terceros:

Herramientas de analítica (como Amplitude)
Herramientas promocionales (como capturas de correo electrónico para newsletters)
Constructores de paquetes
Seguimiento de anuncios (Meta, Google)

Y muchas otras herramientas de terceros que son esenciales para los sitios de comercio electrónico.

Los scripts de terceros son un punto de entrada para el web skimming

Cada script de terceros es un punto de entrada para los atacantes. Pueden ser infiltrados a través de diversos métodos:

Dominios caducados: cuando un dominio antiguo no se renueva, los atacantes pueden comprarlo y modificar el código. Si tu sitio web obtiene código de ese dominio, el código malicioso será descargado.
Ataques a la cadena de suministro: Si un tercero de confianza es hackeado, su script puede propagar código malicioso a tu sitio.
A través de gestores de etiquetas: Si los atacantes obtienen acceso a Google Tag Manager, pueden inyectar código que irá directamente a tu sitio web en producción sin ninguna revisión. La actividad de ese script quedará oculta al estar agrupada con otros scripts.
Credenciales expuestas: Las credenciales robadas pueden otorgar a los atacantes acceso interno a tus sistemas. En lugar de intentar forzar la entrada a la caja fuerte (tus servidores), pueden optar por inyectar código en tu sitio web.

De forma individual, las herramientas de terceros consolidadas son seguras y conllevan un riesgo mínimo. Pero los sitios web modernos tienen decenas de scripts de terceros. Un informe de Web Almanac encontró que la mediana de dominios de terceros en un sitio web es de 23. Y esos scripts de terceros cargan más scripts (scripts de cuarta parte) para ayudarles con el procesamiento de datos.

Un chatbot (script de terceros) podría cargar una herramienta de análisis de documentos para ayudar a los clientes con sus tickets de soporte analizando sus PDFs. Nunca autorizaste directamente esa herramienta de análisis de documentos, pero se sirve en tu sitio (y accede a información sensible).

Puedes empezar a ver el problema: tu sitio web acaba con decenas de scripts que pueden inyectar código en tu sitio sin que nadie los supervise.

Qué hacen los atacantes con los datos obtenidos por e-skimming

¿Cuál es el peligro real? En el escenario óptimo para el atacante: crean un script que les permite ver lo que los usuarios introducen en el formulario de pago. Bingo. Ahora ven la información personal identificable y el número de tarjeta, la fecha de caducidad y el código CVC.

Si logran copiar y exfiltrar eso a su propio servidor, el botín está asegurado. Pueden vender esa información en la dark web o usar los datos de la tarjeta ellos mismos para cometer fraude.

Cómo los comerciantes en línea pueden prevenir el e-skimming

Lista de verificación: Cómo prevenir ataques de web skimming - cside — Lista de verificación: Cómo prevenir ataques de web skimming

1. Monitoriza los scripts de terceros: ¿a qué datos acceden y a dónde los envían?

La monitorización de scripts en tiempo real es esencial. Las herramientas que observan los scripts de terceros y su comportamiento activarán una alarma cuando se detecte actividad sospechosa. Por ejemplo, si un script de analítica de repente comienza a leer datos de formularios y a enviarlos a un servidor en Rusia, es posible que estés ante un ataque del lado del cliente.

La plataforma de cside monitoriza los scripts de terceros para ver a qué datos tienen acceso y te alerta de inmediato si ese acceso cambia.

2. Limita qué scripts se ejecutan en las páginas de pago

Para los comerciantes, el primer paso es saber qué scripts se ejecutan en las páginas de pago. Una medida de precaución es asegurarse de que solo los scripts necesarios se ejecuten allí. Todo lo que no sea estrictamente necesario para el pago o la prevención del fraude: elimínalo.

3. Usa cside para la gobernanza de scripts de terceros

Muchos sitios web permiten por defecto que los scripts de terceros vayan directamente al sitio en producción. Los equipos de marketing y los desarrolladores quieren actualizaciones rápidas para mejorar la funcionalidad. Incluso las empresas que sí revisan cada script los aprueban una vez y rara vez los vuelven a revisar.

Puede parecer un trabajo manual enorme revisar cada script que se añade, pero una herramienta como cside rastrea automáticamente cada nuevo script añadido y proporciona un resumen escrito por IA y una puntuación de riesgo para que puedas aprobarlo rápidamente. Todos los scripts se mantienen en un "inventario en vivo" que los equipos de cumplimiento de privacidad o seguridad pueden gestionar fácilmente.

4. Implementa controles de seguridad del navegador: CSP y SRI

Los ataques de e-skimming se desarrollan en el navegador, por lo que podemos usar una capa defensiva allí. CSP y SRI proporcionan eso. Es cierto que no resuelven todo, pero sí crean mayor visibilidad.

Un CSP estricto determina qué fuentes pueden cargar scripts y a qué endpoints pueden acceder. El contenido del script en sí no se verifica, pero los flujos de datos no deseados se detectan y pueden bloquearse. Comienza con Content-Security-Policy-Report-Only para comprobar que todo sigue funcionando correctamente.

SRI añade un hash a los archivos: así es como verificas si un script fue modificado en el origen o durante la transferencia. Esto hace mucho más difícil propagar código malicioso a través de una actualización o un proveedor comprometido. Esto funciona principalmente para scripts estáticos. Sin embargo, los scripts de terceros que se actualizan automáticamente rompen la verificación del hash.

Por qué la seguridad web tradicional no detecta el e-skimming

El malware no se ejecuta en el servidor del comerciante. Se ejecuta en el navegador del cliente con los mismos derechos y privilegios que el propio código del comerciante.

JavaScript es aceptado y ejecutado en el DOM. Las herramientas de seguridad web tradicionales a menudo no tienen visibilidad sobre esto. Incluso las herramientas de defensa del lado del cliente como Content Security Policy solo analizan el origen de cada script. Si una fuente de confianza está sirviendo código malicioso, las políticas de seguridad de contenido no detectarán ni bloquearán ese ataque.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

El e-skimming es el equivalente digital del skimming de tarjetas en cajeros automáticos o terminales de punto de venta, donde se roban datos personales y de pago. En un ataque de e-skimming, los atacantes inyectan código malicioso en las páginas de pago para capturar lo que los clientes escriben en los formularios. Los datos robados se utilizan para realizar transacciones fraudulentas o se venden en la dark web.

Los atacantes explotan vulnerabilidades en scripts de terceros o en plataformas de comercio electrónico como WooCommerce y Magento. Comprometen a proveedores externos o inyectan JavaScript malicioso en el entorno del comerciante. Una vez que el código se ejecuta en el navegador del usuario, registra silenciosamente datos sensibles como nombres, direcciones y datos de tarjetas introducidos en las páginas de pago. Esa información se transmite al servidor del atacante para cometer fraude o revenderla en la dark web.

El skimming físico consiste en robar datos de tarjetas mediante dispositivos colocados en cajeros automáticos o terminales de punto de venta que registran PINs o leen bandas magnéticas. El e-skimming, en cambio, es completamente digital: un JavaScript malicioso monitoriza la entrada del usuario en el navegador durante el proceso de pago y envía los datos capturados a los servidores del atacante sin que el usuario lo sepa.

Para prevenir el e-skimming, los comerciantes deben centrarse en la seguridad del lado del cliente. El primer paso es obtener visibilidad sobre todos los scripts que se ejecutan en los navegadores de los usuarios, especialmente en las páginas de pago. Mantén un inventario y conserva solo los scripts esenciales para el pago o la prevención del fraude. Implementa controles nativos del navegador como CSP y considera plataformas de seguridad automatizada del lado del cliente como cside.com para una monitorización y protección continuas.

Cualquier sitio web que utilice scripts de terceros en páginas de inicio de sesión o de pago es vulnerable. La mayoría de las tiendas online dependen de múltiples scripts externos, lo que amplía la superficie de ataque. Un único script de terceros comprometido puede afectar a miles de sitios web, ya que cada script externo representa un posible punto de entrada para los atacantes.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.