Tiendas online creadas con Magento son víctimas de web skimming

Por lo menos 2800 tiendas virtuales con la plataforma de ecommerce Magento son atacadas buscando recolectar los datos de las tarjetas de crédito de los clientes.

La campaña denominada como Magecart ha logrado recaudar la información personal y financiera de miles de compradores en todo el mundo. El ataque ocurre gracias a un skimmer en la página de pagos que reúne estos datos.

La mayoría de las tiendas afectadas funcionan con Magento 1, el cual no permite nuevas actualizaciones de seguridad, sin embargo también se vieron comprometidas algunas tiendas con Magento 2.

Estos ataques están siendo monitoreados por la compañía de seguridad informática ESET. La empresa afirma que este es el caso más grande web skimming que tienen documentado.

A continuación la nota de prensa: 


ESET advierte que más de 2800 tiendas online creadas con Magento fueron víctimas de web skimming

La compañía de seguridad informática, ESET, alerta por el robo datos de tarjetas de crédito resultado de ataques a tiendas online durante el último fin de semana.

Información personal de miles de clientes fue comprometida en una campaña global de ataques conocidos como Magecart o web skimming dirigida a tiendas online creadas con Magento, la popular plataforma de ecommerce. ESET, compañía líder en detección proactiva de amenazas, advierte que los atacantes lograron vulnerar los sitios para insertar scripts maliciosos con el fin de obtener los datos de las tarjetas que ingresaban los clientes al momento de realizar una compra en la tienda y recomienda actualizar los sistemas para mayor seguridad.

El 14 de septiembre se registraron 1904 tiendas a las que habían añadido un skimmer en la página de pagos que recolectaba los datos personales y financieros de compradores desprevenidos. Sin embargo, en las últimas horas la cifra de sitios afectados superó los 2800.

La mayoría de estos ataques comenzaron el viernes pasado y continuaron durante el fin de semana. Afectaron principalmente a tiendas que utilizaban Magento 1, una versión cuyo ciclo de vida terminó el pasado mes de junio y ya no recibe actualizaciones de seguridad, aunque también se vieron comprometidas tiendas que corren Magento 2. Esta campaña de web skimming es la más grande que se observó hasta el momento, según investigadores de Sansec, quienes monitorean tiendas online desde 2015.

ESET recomienda a los propietarios de tiendas que estén corriendo Magento 1 que actualicen a Magento 2 para una mayor seguridad. Datos de Sansec aseguran que cerca de 95.000 tiendas online continúan utilizan Magento 1.

En julio se conoció que un grupo de cibercriminales había comprometió mediante ataques de web skimming más de 550 tiendas online ubicadas en países de distintas partes del mundo, muchas de ellas en varios países de América Latina, como Argentina, Brasil, Chile, Colombia, Perú y Paraguay, entre otros.

Esta modalidad no es nueva, pero sí es importante tomar los recaudos correspondientes en un contexto como el actual que presenta un aumento en las compras online por parte de los usuarios a raíz del escenario que trajo la pandemia del nuevo coronavirus. En este sentido, plataformas como Shopify, una de las más populares para la creación de tiendas online, casi duplicó sus ganancias en el segundo trimestre de este año a raíz de la necesidad de muchas empresas de volcarse hacia el comercio electrónico. Desde ESET recomendamos antes de implementar cualquier tecnología tener en cuenta la seguridad de la misma, sobre todo si se va a manejar información sensible. La prevención y la educación son dos factores claves para aprovechar y disfrutar de la tecnología”, comenta Camilo Gutiérrez Amaya, Jede del Laboratorio de Investigación de ESET Latinoamérica.

En el contexto de aislamiento por el COVID-19, ESET comparte #MejorQuedateEnTuCasa, donde acerca protección para los dispositivos y contenidos que ayudan a aprovechar los días en casa y garantizar la seguridad de los más chicos mientras se divierten online. El mismo incluye: 90 días gratis de ESET INTERNET SECURITY para asegurar todos los dispositivos del hogar, una Guía de Teletrabajo, con buenas prácticas para trabajar desde el hogar sin riesgos, Academia ESET, para acceder a cursos online que ayudan a sacar el mayor provecho de la tecnología y Digipadres, para leer consejos sobre cómo acompañar y proteger a los niños en la Web.


Lea también: ESET informa de los beneficios de eliminar tu cuenta en Houseparty