Las tiendas de comercio electrónico son ahora más populares que hace unos meses, lo que las ha convertido en el objetivo perfecto de los cibercriminales para robar información y datos de tarjetas de crédito. Una nueva modalidad, llamada Magecart, fue descubierta este año y usa códigos escondidos en botones de ‘Compartir en redes sociales’. Una vez activo el ataque guarda todos los datos que llenan los usuarios cuando pagan en los sitios web.
Magecart fue descubierta en junio y se encontró en diferentes sitios de compra en línea en septiembre. De acuerdo con el portal Zdnet, lo que hace exitosa esta modalidad es que el usuario no tiene manera de reconocer cuando un sitio es víctima de este tipo de ataques; de hecho, aún para los profesionales en temas de seguridad cibernética, es casi imposible reconocerlos.
Además, el usuario tampoco necesita dar clic en uno de los botones de redes sociales para activar el robo, este está corriendo y guardando información desde que se instalan en los sitios web.
¿Cómo funciona el robo de datos desde botones de redes sociales?
En ocasiones, hemos escuchado de códigos en imágenes JPG y PNG que una vez descargados en nuestros dispositivos permiten a criminales cibernéticos tomar control de estos. Magecart funciona de manera similar. El atacante esconde un código en archivos SVG (botones de compartir en redes sociales) y estos son instalados en las tiendas online sin sospecha de que están convirtiendo a sus clientes en blancos de robo de datos.
También te puede interesar: Un meme de Twitter, la nueva manera de robar información.
El principal problema es que la sintaxis de este está muy bien hecha y los escáneres no están preparados para identificarlos. Esto permitió que se multiplique rápidamente este tipo de ataques, explica SangSec, empresa de seguridad que descubrió los ataques a mediados del año.
Asimismo, la empresa de seguridad resalta que ante la poca protección que se puede ofrecer ante este tipo de ataques, la mejor solución para los usuarios es usar tarjetas virtuales de un solo uso. Si los cibercriminales obtienen datos de este tipo de tarjetas no les servirán porque quedarán inválidos una vez se realiza la transacción.
Imagen: Stux (Vía Pixabay).
