Qué es el "formjacking" y cómo protegerse del robo de CVV de la tarjeta como ha sucedido en Air Europa

  • Con 20 líneas de código es suficiente para obtener datos tan sensibles como el número CVV de las tarjetas de crédito

  • La falta de revisión y actualización del código web es el principal motivo del éxito de esta técnica

Formjacking
8 comentarios Facebook Twitter Flipboard E-mail

Air Europa se expone a una nueva multa. El ciberataque de hoy no es sino el último ejemplo de cómo grandes compañías todavía no aplican los estándares de seguridad exigibles. La aerolínea ha pedido a sus clientes cancelar sus tarjetas de crédito porque algunas han podido verse comprometidas. Según el correo enviado a algunos clientes, no solo se han filtrado los nombres y números, también el CVV de seguridad.

¿Cómo es posible que un dato tan sensible como este haya sido obtenido por los ciberatacantes? Expertos como Luis Corrons, Security Evangelist de Avast, apuntan que se ha aplicado la técnica del 'formjacking'. Os contamos en qué consiste y por qué Air Europa podría haber llegado a evitar una situación como la que ahora está viviendo.

En qué consiste el 'formjacking'

Es una técnica que afecta principalmente a las páginas de comercio electrónico y tiene como objetivo obtener los datos de las tarjetas de crédito. Lo que hacen es infiltrarse en los sistemas de la empresa o página web y añadir un código malicioso sin que sea detectado. Un tipo de ataque 'Man-in-the-middle', como se conoce popularmente.

Es decir, un atacante obtiene acceso a la web a través de alguna vulnerabilidad y añade un script malicioso junto a la pasarela de pagos. Con este código, cuando un usuario añade sus datos también los está enviando a un servidor externo donde los atacantes reciben la información que a priori era segura.

Formjacking Feroot Imagen: Feroot

Suelen basarse en JavaScript y en vulnerabilidades de algunos navegadores. En el momento en que una empresa no tiene instalados los últimos parches de seguridad es susceptible de que sus sistemas sean atacados. Una vez dentro, lo que hacen con este código malicioso es que cuando el usuario pone los datos de su tarjeta de crédito, también se están enviando de forma paralela a otro servidor controlado por los ciberatacantes.

Air Europa parece seguir los pasos de British Airways, la aerolínea que en 2018 sufrió un ciberataque similar mediante esta técnica, comprometió los datos de 380.000 operaciones y fue multada por 213 millones de euros.

De aquel caso se confirmó el potencial riesgo del 'formjacking'. Se descubrió por la Universidad de Lancaster que únicamente hicieron falta unas 20 líneas de código y que la operación de obtener los datos de las tarjetas de crédito se realizaba en milisegundos, lo que ayudó a que el ciberataque pasara desapercibido para la aerolínea.

Quiénes se ven afectados

Según un informe de Symantec con datos de 2019, más de 4.800 sitios web al mes son afectados por este tipo de ataque. Otro caso conocido fue el de Ticketmaster en 2018.

La mayoría de empresas afectadas son aquellas que apuestan por una plataforma propia o de comercio electrónico con extensiones, como Wordpress o Magento, pero donde se comete el error de no tenerla actualizada con los últimos parches de seguridad.

Aquí es responsabilidad total del equipo de ciberseguridad de la empresa asegurarse de que se cumplen con todos los protocolos de seguridad y se ha analizado bien el código de la web. Así como se debe monitorizar el tráfico saliente del sitio para detectar datos extraños que estén siendo transferidos donde no toca.

Aunque la mayoría de sitios de ecommerce mantienen el dato del CVV en una base separada, la técnica del 'formjacking' permite robar este dato si el usuario lo añade desde una página interna.

Algunos atacantes, como el grupo Magecart, incluso compraron certificados SSL de pago de Comodo para que las webs parecieran servidores legítimos y se siguieran pasando las certificaciones HTTPS.

Por parte de la empresa, existen herramientas para detectar estos ataques como Feroot, que analizan los scripts de terceros y cuándo se están enviando datos a otros servidores.

Qué podemos hacer para prevenirlo

Es difícil protegerse al 100% de estos ataques. Pero por eso existen grandes empresas que ofrecen soluciones al resto. Son las pasarelas de pago de los grandes bancos, de plataformas como Paypal o sistemas como Google Pay, entre otras.

Con estos sistemas la información bancaria no se comparte con la web del comercio electrónico, con lo que al menos por esta vía queda protegida. Para que hubiera un problema, deberían ser estos sistemas de pago los afectados directamente y claro está, empresas como Paypal o Google disponen de muchas más recursos para evitarlos.

Como usuarios, toca fijarse siempre a la hora de pagar. Ninguna empresa, por protegida que esté, puede asegurarnos perfectamente que sus sistemas son seguros. Como usuarios hay que fijarse en qué tipo de web nos metemos a la hora de insertar los datos e intentar no darlos en pantallas que se alejen de las plataformas seguras que conocemos.

Se recomienda revisar nuestra tarjeta de crédito habitualmente y monitorizar si se ha realizado un pago extraño. En ese caso, hay que contactar con la entidad bancaria que tiene la obligación de reintegrarnos el pago si no hemos sido nosotros quienes lo hemos hecho.

Además de las tarjetas virtuales, en los últimos años bancos como el BBVA han empezado a ofrecer tarjetas de crédito con un CVV dinámico que cambia cada varios minutos. Una medida adicional que podemos preguntar a nuestro banco si está disponible y ayudaría a evitar compromisos de seguridad como el ocurrido con Air Europa.

Imagen | Shamin Haky

En Xataka | Cómo saber si una tienda online es fiable o no: consejos y herramientas para comprar con seguridad en internet

Comentarios cerrados
Inicio