En pleno auge de la temporada navideña, NordVPN alertó sobre un repunte significativo de ataques invisibles diseñados para robar información de tarjetas de crédito durante las compras en línea.
En un artículo, la firma de servicios de Red Privada Virtual (VPN) -que ofrece seguridad y privacidad en internet al cifrar la conexión y ocultar la dirección IP del usuario- explicó que esta modalidad, conocida como e-skimming, opera mediante la inyección de un código malicioso en JavaScript dentro de tiendas digitales legítimas, lo que permite capturar datos sensibles sin que el usuario o el comercio lo noten de inmediato.
El e-skimming funciona como la versión digital del skimming tradicional, ese método con dispositivos físicos que se usa en cajeros automáticos para clonar tarjetas. La diferencia, subrayó la compañía, es que su naturaleza invisible lo convierte en una amenaza especialmente riesgosa, ya que la navegación continúa de forma normal y los negocios suelen carecer de alertas tempranas para identificar la infiltración.
De acuerdo con el Informe Anual de Inteligencia sobre Fraude en Pagos, el e-skimming se ha consolidado como uno de los métodos más efectivos para el robo de información financiera. En comparación con 2023, la actividad vinculada a esta técnica casi se triplicó durante 2024, con más de 11,000 dominios nuevos de comercio electrónico infectados, la cifra más alta reportada en un solo año.
“Los ciberdelincuentes implantan skimmers de JavaScript que se ejecutan en silencio en tu navegador y se llevan en tiempo real los números de tarjetas de crédito, nombres, códigos CVV, correos electrónicos, fechas de vencimiento y otra información confidencial, a veces incluso antes de que termines la compra.
“Puedes comprar en una página legítima y que tus datos sean robados, sin pop-ups, sin advertencias, solo un robo en silencio”, señaló Marijus Briedis, CTO de NordVPN.
Los especialistas explicaron que las pasarelas de pago modernas cargan múltiples códigos externos —etiquetas de analytics, widgets de pago, rastreadores de marketing, bibliotecas de UX o herramientas de pruebas A/B— que si bien provienen de proveedores confiables, no siempre cuentan con una supervisión adecuada.
La falta de control, indicaron, abre la puerta al e-skimming, ya que el código malicioso se ejecuta como si fuera un script legítimo justo después de que la página termina de cargar, operando localmente en el navegador.
Un solo proveedor comprometido o un plugin sin actualizar puede afectar a todas las tiendas que dependen de él. Una vez infiltrado, el script puede camuflarse entre los códigos auténticos y activarse en horarios o regiones específicas, incluso antes de que el usuario confirme su compra.
La información robada suele terminar rápidamente en mercados de la dark web, donde —según investigaciones de NordVPN— las tarjetas pueden venderse desde 9 dólares. Con esos datos, los atacantes realizan compras ilícitas, vacían cuentas o lavan dinero mediante tarjetas de regalo en cuestión de horas.
“El e-skimming consigue su objetivo porque se esconde en los scripts que las tiendas online necesitan para funcionar. Muchos comercios no tienen visibilidad o control sobre esos scripts, así el código inyectado funciona en silencio, roba toda la información de las tarjetas y desaparece sin dejar rastro”, añadió Briedis.
¿Cómo protegerte?
Ante este panorama, NordVPN recomendó adoptar medidas preventivas para reducir el riesgo durante las compras en línea.
Entre ellas destaca el uso de tarjetas virtuales o de un solo uso que no expongan los números reales; evitar guardar datos de tarjetas en sitios web, incluso aquellos confiables; desactivar el autocompletado en formularios de pago; instalar herramientas de seguridad capaces de bloquear scripts y rastreadores maliciosos en tiempo real, mantenerse alerta ante extensiones desconocidas o pop-ups inusuales al finalizar una compra; y revisar con regularidad los movimientos bancarios para detectar operaciones extrañas.
er





