No cabe duda de que los datos asociados a las tarjetas de crédito han sido y son datos muy interesantes para los ciberdelincuentes. Estos no dudan en utilizar su ingenio para robarlos, ya sea de forma física colocando lectores falsos en cajeros, copiándolos mediante sencillos dispositivos cuando vamos a pagar en un establecimiento o, tal y como se ha ido popularizando en los últimos años, engañando a los usuarios con webs falsas que suplantan empresas auténticas.
Atacando al proveedor de servicios e-commerce
Sin embargo, recientemente, se han visto ataques dirigidos directamente a las plataformas de comercio electrónico utilizadas por las tiendas online. Magento, uno de los gestores de contenido web de código abierto orientados al comercio electrónico más utilizados, se encuentra en el punto de mira de los delincuentes desde hace meses.
El pasado mes de abril, investigadores de Check Point analizaban una vulnerabilidad en Magento que permitía a un atacante ejecutar código PHP en el servidor web. De esta forma, el atacante podía saltarse todas las medidas de seguridad y obtener el control total de la tienda online atacada y toda su base de datos.
Entre las acciones delictivas que se podían cometer aprovechando esta vulnerabilidad se encuentra la de borrar o editar campos de la base de datos, obtener datos privados de sus clientes registrados (incluyendo tarjetas de crédito si estas se almacenan en esa base de datos) y generar descuentos para obtener productos a bajo coste (o incluso gratis).
Tras ser informados de esta vulnerabilidad, los desarrolladores de Magento se pusieron manos a la obra y lanzaron una actualización que la solucionaba. Sin embargo, a pesar de que la versión 1.9.1.1 se encuentra disponible desde el 1 de mayo, aún son muchos los comercios online que no la han instalado, encontrándose, por tanto, a merced de los delincuentes.
Explotando vulnerabilidades para obtener tarjetas de crédito
Son precisamente estas tiendas online que no han actualizado su versión de Magento las que están en el punto de mira de los delincuentes, quienes durante las últimas semanas han incrementado sus ataques en búsqueda de los datos de los clientes almacenados en las webs vulnerables.
En una investigación realizada por la empresa Sucuri se observa como hay una nueva oleada de ataques a tiendas online que utilizan Magento, con la finalidad de obtener los datos de las tarjetas de crédito de sus clientes. Utilizando la vulnerabilidad ya solucionada, el atacante consigue inyectar código en el servidor donde se aloja Magento y se empieza a espiar todas las comunicaciones entre los clientes y la web infectada.
En este punto, el atacante puede obtener el contenido de todas las peticiones POST de los clientes de esa web (esto son todos los datos que se envíen desde su parte al servidor). Obviamente, no todos los datos enviados por los usuarios serán de valor para los atacantes, por lo que se hace un filtro de los que realmente pueden servirles (p.ej. datos de tarjetas de crédito), se cifran y se guardan en un fichero que se hace pasar por una imagen.
Esta técnica es bastante inteligente, puesto que el delincuente se asegura de que nadie sospeche nada si se encuentra con el fichero que contiene los datos. Por un lado, este fichero aparentará ser un enlace roto de una imagen y por otro se aseguran de que solo él pude abrir el fichero usando la clave pública de cifrado definida al principio del script malicioso, utilizada para infectar el servidor que aloja la tienda online.
Una vez el delincuente recopila y descifra la información, puede usarla a su antojo. Muy probablemente se esperará a recopilar una cantidad suficiente de tarjetas de crédito para, seguidamente, venderlas en un pack al mejor postor en algún foro de negocios turbios.
También es posible que se utilicen estas tarjetas para pagar otro tipo de servicios delictivos o incluso que se clonen para sacar efectivo con ellas, aunque esta última opción supone asumir riesgos que permitirían la identificación del delincuente.
Conclusión
A pesar de que la vulnerabilidad aprovechada por los delincuentes lleva dos meses solucionada, aún quedan muchas webs que no han aplicado el parche que la corregía. Si ya consideramos esencial actualizar nuestro sistema y aplicaciones en nuestro ordenador de uso personal, estas actualizaciones pasan a ser cruciales cuando hablamos de aquellos sistemas utilizados para gestionar una plataforma de comercio electrónico.
No es solo por la posibilidad que tendría un usuario de obtener productos de la tienda vulnerable a un precio irrisorio o de que borrase o modificase a su antojo la información almacenada. Ni siquiera el robo de las tarjetas de crédito de los clientes sería lo peor que podría pasar.
Lo más grave, al menos en un país como España, en el que la Ley Orgánica sobre la Protección de Datos protege fuertemente la información privada de los usuarios, es que se imponga una grave sanción (hasta 600.000€) que termine con el cierre del negocio por no poder hacer frente a esta multa.