A fondo: ‘Shoplift bug’, la vulnerabilidad que está permitiendo clonar tarjetas en casi 6.000 tiendas online

Desde F5 Networks explican que esta vulnerabilidad “logra que los hackers puedan acceder a los sites de las tiendas como si fueran sus administradores, lo que les permite hacer cualquier cosa”.

Casi 6.000 tiendas online están afectadas por malware capaz de robar los datos de sus clientes. Concretamente, habría 5.925 tiendas online con código malicioso que clona las tarjetas utilizadas por los usuarios para realizar compras por Internet. Así lo advierte Willem de Groot, cofundador de byte.nl, en una investigación que ha llevado a cabo. Y añade que este problema viene de atrás y va en aumento. Si en noviembre de 2015 había 3.501 tiendas afectadas por el peligroso asunto del copiado de tarjetas, en marzo de 2016 el número era ya de 4.476. Y más recientemente, en septiembre, subió por encima de las 5.900. Esto quiere decir que en menos de un año el volumen de eCommerce víctimas de estas acciones ilegales se ha disparado un 69 %. A esto hay que añadir que los ciberdelincuentes han pasado de usar el mismo código a servirse de tres familias de malware diferentes, con más variaciones. Es decir, parece que hay múltiples grupos de maleantes implicados en el caso.

Para llegar a los niveles actuales, los expertos en seguridad explican que se recurre al código conocido como “shoplift bug”. Esta vulnerabilidad “logra que los hackers puedan acceder a los sites de las tiendas como si fueran sus administradores, lo que les permite hacer cualquier cosa. En esta ocasión, instalar un malware que se ocupa de copiar las tarjetas de crédito y los datos de los clientes”, aclara Álex López de Atxer, Country Manager de F5 Networks en España y Portugal. O, como dice el propio De Groot, lo que ocurre es que “los datos de tu tarjeta son robados para que otras personas puedan gastar tu dinero”, con el agravante de que el copiado de datos online sería más beneficioso para los ladrones que su versión offline. Aunque el copiado de los datos de tarjeta también se puede realizar de forma física, en comercios o en cajeros, el denominado “skimming online” destaca por ser más difícil de descubrir. Además, también dificultaría el rastreo de pistas que lleven hacia sus autores.

“El software malicioso se encuentra en un espacio virtual situado entre el lugar en el que el cliente introduce sus datos y la tecnología que los encripta antes de enviarlos a la nube y a la compañía a la que se está realizando la compra”, ahonda Álex López. Luego, la información que se ha sustraído es utilizada “de forma fraudulenta o se vende a través de la dark web”. Con la tienda online en su control, sin que los dueños legítimos del comercio y de los propios datos confidenciales de pago se den ni cuenta, los hackers canalizan la información a servidores que estarían ubicados sobre todo en Rusia. A la hora de vender los datos, le podrían un precio de 30 dólares por tarjeta. Aquí “lo más preocupante es que no sólo se capturan los datos de la tarjeta de crédito, sino otro tipo de información más personal, como la dirección postal o las contraseñas utilizadas”, añade López, lo que al final puede elevar “el precio de la tarjeta en el mercado negro”.

También preocuparía que el eCommerce es un negocio cada vez más extendido. Frente a las dudas iniciales, más y más personas se animan a realizar transacciones financieras de forma virtual, a contratar servicios por Internet o a comprar productos físicos desde una tienda online. En España, de acuerdo con datos de la Comisión Nacional de los Mercados de la Competencia, el número de transacciones vinculadas al comercio electrónico creció un 30 % interanual hasta los 88 millones durante el primer trimestre de este 2016, con especial aporte por parte de contenido como los discos, los libros, periódicos y papelería y la ropa. Con este impulso, la facturación ha superado en el Q1 los 5.400 millones de euros. De ellos, el 55,9 % se lo ha quedado el conjunto de webs asentadas en España que comercializan diferentes cosas, mientras que el otro 44,1 % ha sido generado por compras tramitadas desde España pero a través de páginas extranjeras. La diversidad y el empuje son evidentes.

Así las cosas, ¿qué se puede hacer para evitar ser una damnificado más por ataques contra tiendas online? ¿Cómo protegerse? ¿Es posible seguir comprando online sin tener que lamentar efectos adversos? Según el responsable de F5 Networks, “el mejor consejo para los consumidores es que utilicen solamente plataformas de pago de confianza, como PayPal, ya que son sitios que invierten más en seguridad, lo que los hace más resistentes frente a este tipo de ataques”. Esto debería ser suficiente para mantener sus finanzas a salvo. Las plataformas especializadas se presentan como sinónimo de confianza, aunque las soluciones no deberían terminar ahí. “La responsabilidad real de estas situaciones recae en las empresas”, recuerda Álex López de Atxer. Éstas “deben hacer más para asegurar que sus softwares están actualizados, lo que reduce las posibilidades de éxito de los hackers“. Será entonces cuando se pueda plantar cara con más robustez a los cibercriminales.