Redacción Digital Inside España
Con el volumen de compras en línea propio de la campaña navideña, especialistas en seguridad digital están llamando la atención sobre el e-skimming. Se trata de una modalidad de fraude que replica en Internet el conocido skimming físico de los cajeros automáticos, en el que se clonan tarjetas mediante dispositivos instalados en terminales de pago. El e-skimming consiste en la inyección de código JavaScript malicioso en tiendas online legítimas para robar datos de tarjetas durante el proceso de pago sin que el usuario lo perciba.
Este código se ejecuta directamente en el navegador del comprador mientras este completa una transacción en un sitio de comercio electrónico que, a priori, resulta fiable. El usuario continúa navegando con normalidad, sin mensajes de alerta ni ventanas emergentes que hagan sospechar que algo va mal. Los comercios, por su parte, tampoco suelen disponer de señales inmediatas de que se está produciendo una exfiltración de datos. Este tipo de fraude es difícil de detectar porque se ejecuta en segundo plano en el navegador, sin avisos visibles ni cambios aparentes en la experiencia de compra.
Desde el punto de vista técnico, el ataque se basa en pequeños fragmentos de JavaScript, el lenguaje de programación que se utiliza habitualmente para dotar de interactividad a las páginas web. Según explica Marijus Briedis, director de tecnología de NordVPN, los ciberdelincuentes insertan estos “skimmers” en el código de la tienda online, de forma que el script se carga junto al resto de elementos y empieza a captar datos sensibles en tiempo real. Entre la información objetivo se incluyen números de tarjeta, nombres, códigos CVV, direcciones de correo electrónico, fechas de caducidad y otros datos confidenciales vinculados al pago, que pueden llegar a transmitirse incluso antes de que el comprador pulse el botón final de confirmación.
El Informe Anual de «Inteligencia sobre Fraude en Pagos» sitúa el e-skimming entre los métodos más efectivos para obtener información de medios de pago. En 2024 la actividad de e-skimming casi se triplicó respecto a 2023, superando los 11.000 nuevos dominios de comercio electrónico infectados según el Informe. Esta cifra representa el registro anual más elevado hasta la fecha y refleja una tendencia de expansión de esta técnica en el ecosistema de comercio electrónico.
Las pasarelas de pago actuales se apoyan en una combinación de códigos externos procedentes de proveedores de confianza: etiquetas de analítica, widgets de pago, rastreadores de marketing, bibliotecas de experiencia de usuario y herramientas de pruebas A/B, entre otros. Aunque se trata de componentes habituales en cualquier tienda online moderna, no siempre existe un seguimiento detallado de todo lo que se ejecuta en el navegador del cliente. La cadena de suministro de scripts externos en las pasarelas de pago convierte a cualquier proveedor comprometido o plugin desactualizado en un vector capaz de propagar el e-skimming a múltiples comercios.
Cuando un único proveedor de estos servicios resulta comprometido, o cuando un complemento utilizado por muchas tiendas no está actualizado, el mismo código malicioso puede llegar simultáneamente a un número significativo de sitios. Una vez inyectado, el script se mezcla con los códigos legítimos, lo que permite que el ataque se active solo en determinadas regiones geográficas, franjas horarias o condiciones específicas, adaptándose para reducir su visibilidad. El robo de datos puede producirse antes de que haya confirmación de la compra, en el momento en que el usuario introduce los datos de su tarjeta en el formulario.
Tras la captura de la información, los datos pasan a una economía paralela que opera con gran rapidez. Los ciberdelincuentes suelen vender los registros obtenidos en mercados de la dark web, el segmento de Internet que no es accesible a través de navegadores convencionales y que se ha convertido en canal de comercio para distintos tipos de actividades ilícitas. Investigaciones recientes de NordVPN señalan que las tarjetas de crédito robadas se comercializan por importes a partir de unos 9 dólares estadounidenses. Los datos capturados se comercializan en mercados de la dark web por importes reducidos y se utilizan pocas horas después para realizar compras fraudulentas, vaciar cuentas o lavar dinero. En muchos casos, estas operaciones se realizan mediante tarjetas regalo o compras rápidas destinadas a transformar el saldo en bienes o servicios difíciles de rastrear.
Briedis subraya que el e-skimming consigue sus objetivos porque se oculta dentro de los mismos scripts que las tiendas necesitan para funcionar con normalidad. Muchos comercios no disponen de visibilidad ni control suficientes sobre el código que se ejecuta en el navegador del cliente, lo que facilita que el script inyectado opere de forma silenciosa, capture la información necesaria y desaparezca sin dejar rastro evidente en la infraestructura del comerciante. Esta falta de visibilidad plantea un escenario de riesgo particular para los responsables de TI y de comercio electrónico, que dependen de una cadena de terceros cada vez más compleja.
Recomendaciones para reducir el riesgo en las compras online
Además de describir el funcionamiento del e-skimming, Briedis propone una serie de medidas de prevención orientadas a los usuarios que realizan pagos en línea. Una de las principales consiste en recurrir, siempre que sea posible, a tarjetas virtuales o de un solo uso, o a servicios de pago que no expongan el número real de la tarjeta en la transacción. También se mencionan los pagos tokenizados, como los que ofrecen plataformas del tipo Apple Pay o Google Pay, en los que el número de tarjeta se sustituye por un código o token que solo sirve para esa operación. El uso de tarjetas virtuales o pagos tokenizados que no exponen el número real de la tarjeta reduce de forma notable el impacto de un posible e-skimming sobre el consumidor.
Otra recomendación es evitar almacenar los datos de la tarjeta en los sitios web, incluso cuando se trate de comercios que el usuario considera de confianza. Desactivar las funciones de autocompletado del navegador en los campos de pago puede reducir la cantidad de información que queda disponible para un posible script malicioso, ya que obliga a introducir los datos manualmente en cada compra, limitando su persistencia en el dispositivo.
Desde el punto de vista de la protección del puesto de trabajo y de los dispositivos personales, se aconseja instalar herramientas de seguridad capaces de bloquear scripts y rastreadores peligrosos en tiempo real. Entre las soluciones mencionadas se encuentra la funcionalidad Protección contra amenazas Pro de NordVPN, que se presenta como un ejemplo de este tipo de tecnologías, destinadas a filtrar tráfico y neutralizar código sospechoso antes de que llegue a ejecutarse en el navegador.
El experto también llama la atención sobre la necesidad de vigilar extensiones del navegador que resulten inusuales o que el usuario no recuerde haber instalado, así como ventanas emergentes inesperadas en el momento de confirmar la compra. Cambios de comportamiento en la página de pago, formularios que se cargan de manera diferente a lo habitual o solicitudes de información adicional pueden ser indicadores de que algo no funciona como debería.
Finalmente, se insiste en la importancia de revisar con frecuencia los movimientos bancarios para detectar operaciones anómalas. La identificación temprana de cargos desconocidos permite activar con rapidez los mecanismos de respuesta de las entidades financieras, como el bloqueo de la tarjeta y la reclamación de los importes, reduciendo el impacto del fraude tanto en consumidores finales como en empresas. En un contexto de aumento notable del e-skimming, este seguimiento continuado de las transacciones se perfila como una medida de control básica.
