Es un ataque en el navegador donde JavaScript malicioso roba datos de pago mientras los usuarios escriben en formularios de checkout.

Por que un WAF no detecta el eskimming?

Porque el WAF ve trafico hacia tus servidores, mientras que el eskimming suele enviar datos directamente desde el navegador del cliente al atacante.

Como bloquea cside los skimmers de pago?

cside monitorea sesiones reales, inspecciona scripts y bloquea comportamiento malicioso antes de que los datos de tarjeta salgan del navegador.

Caso de uso

Proteccion contra eskimming para checkouts y formularios de pago

JavaScript malicioso roba datos de tarjetas directamente desde el navegador, antes de que tu servidor procese la transaccion. cside monitorea cada script en sesiones reales de usuarios y bloquea los skimmers antes de que actuen.

Reservar una demo

Empezar gratis

Monitor de pagina de pago

Cobertura en sesiones reales del navegador

Protegido

Comportamiento de scripts Monitoreado

Campos de pago Protegidos

Exfiltracion sospechosa Bloqueada

Que es el eskimming?

El eskimming es un ataque en el que JavaScript malicioso se inyecta en el checkout o en una pagina de pago para robar datos de tarjetas mientras los usuarios escriben. El script se ejecuta dentro del navegador del cliente y copia numeros de tarjeta, fechas de vencimiento, CVV y datos de facturacion en tiempo real.

La transaccion termina con normalidad. El cliente recibe la confirmacion y el comercio ve un pago limpio. No se dispara ninguna alarma del lado del servidor. Cuando las tarjetas robadas aparecen en mercados criminales, el ataque puede llevar semanas activo.

El eskimming tambien se conoce como web skimming, digital skimming, formjacking o ataque Magecart. Todos describen la misma amenaza en la capa del navegador.

23M+ transacciones online fueron comprometidas por hacks Magecart activos en 2025, segun Mastercard. Fuente 416,582 casos de robo de identidad en EE. UU. en 2023 fueron facilitados por datos de tarjetas obtenidos por skimming, segun Mastercard. Fuente 72,000+ sitios web fueron comprometidos por ataques del lado del cliente en Q2 2025, segun investigacion de cside. Fuente

Como llega un ataque de eskimming a tu checkout

Los atacantes no siempre necesitan acceso a tu codigo. La ruta mas confiable suele ser a traves de scripts de terceros en los que tu sitio ya confia.

Ataques de cadena de suministro

Un pixel de analitica, una libreria de pruebas A/B, un tag manager o un script CDN confiable se compromete en el proveedor. El script viene de un dominio aprobado, pasa CSP y se comporta normalmente hasta llegar al formulario de pago. El ataque Polyfill.io mostro lo rapido que una dependencia JavaScript confiable puede convertirse en una ruta de distribucion.

Inyeccion directa

Los atacantes explotan una vulnerabilidad de CMS, un plugin sin parches o credenciales de administrador robadas para escribir codigo malicioso en plantillas o configuraciones de tag manager. El skimmer se sirve como codigo propio.

Exposicion de cuarto nivel

Tus scripts de terceros cargan sus propias dependencias. El Web Almanac 2025 encontro que la profundidad mediana de cadenas de inclusion de terceros es 3, lo que crea puntos de riesgo que tal vez nunca revisaste.

El punto ciego que comparten muchas pilas de seguridad

El eskimming vive por completo en el navegador, del lado del cliente, durante una sesion real. Justo ahi es donde muchas herramientas empresariales dejan de mirar.

WAF y monitoreo del servidor

Un WAF monitorea el trafico hacia tus servidores. La exfiltracion de eskimming va desde el navegador del cliente hacia un servidor del atacante, por lo que tu WAF no observa esa conexion. ISACA explica por que las herramientas del proveedor tienen visibilidad limitada sobre el riesgo en tiempo de ejecucion del cliente web.

Content Security Policy

CSP es util, pero aprueba dominios, no el contenido que esos dominios entregan. Un script comprometido desde un dominio permitido puede pasar sin alerta.

Escaneres externos periodicos

Los escaneres se ejecutan desde infraestructura conocida y en horarios definidos. Los atacantes avanzados pueden identificar ese origen y servir codigo limpio al escaner mientras atacan a visitantes reales.

Como ayuda cside

Defensa en la capa del navegador sobre sesiones reales

cside combina monitoreo de comportamiento dentro de sesiones reales con inspeccion profunda de scripts en la infraestructura de cside.

Monitoreo de comportamiento en cada sesion real

Un script ligero de cside observa como se comporta cada script en el navegador: que elementos DOM toca, que campos lee y con que dominios externos se comunica.

Inspeccion profunda de scripts

cside descarga contenidos de scripts en su propia infraestructura para analisis con IA y los compara con inteligencia de amenazas obtenida en sitios monitoreados.

Bloqueo antes del impacto

Cuando se detecta comportamiento malicioso, cside impide que el script complete su accion. El checkout continua y los datos de tarjeta no salen del navegador.

Inventario y deteccion de cambios

cside mantiene un inventario continuo de scripts, rastrea cambios de payload y alerta cuando aparecen scripts, dominios o cambios de headers no autorizados.

Prevencion de eskimming y PCI DSS 6.4.3 / 11.6.1

Los requisitos PCI DSS 4.0.1 6.4.3 y 11.6.1 formalizan lo que un programa solido contra eskimming ya deberia hacer. PCI SSC confirma que los requisitos futuros entraron en vigor el 31 de marzo de 2025. PCI Shield de cside cubre el flujo desde inventario de scripts hasta reportes semanales automatizados.