Loading...

Qué es formjacking y cómo protegerte

Con esta técnica, los ciberdelincuentes pueden conseguir datos tan sensibles como el número CVV de las tarjetas de crédito

Alberto Rosa

Un ciberatacante emplea la técnica de formjacking para robar datos de clientes / UNSPLASH

El pasado mes de octubre la aerolínea española Air Europa sufrió un ciberataque por el que las tarjetas bancarias de muchos clientes pudieron verse comprometidas. Y es que, según el correo que envió la compañía a algunos clientes, no solo se filtraron nombres y números, también el CVV de seguridad.

Según los expertos, la técnica que emplearon los ciberatacantes fue la del formjacking, un ataque que consiste en inyectar un código malicioso en formularios web de sitios legítimos, como puede ser el de una aerolínea

Qué es el formjacking

El formjacking es una técnica que afecta principalmente a las páginas de comercio electrónico y que tiene como objetivo obtener los datos de las tarjetas de crédito. Los ciberdelincuentes se infiltran en los sistemas de la empresa o web en cuestión para añadir un código malicioso sin que sea detectado.

Códigos de programación / PEXELS

Es decir, el atacante obtiene acceso a la web a través de alguna vulnerabilidad y añade un script malicioso junto a la pasarela de pagos. Con ese código, cuando un usuario añade sus datos también los envía a un servidor externo en el que los atacantes reciben la información que, a priori, es segura.

En qué consiste

Para conseguirlo, los ciberatacantes suelen basarse en JavaScript y en vulnerabilidades algunos navegadores. En el momento que una empresa no tiene instalados los últimos parches de seguridad es susceptible de que sus sistemas sean atacados.

Una vez dentro, lo que hacen con este código malicioso es que cuando el usuario pone los datos de su tarjeta de crédito, también los está enviando de forma paralela a otro servidor controlado por los ciberatacantes.

Ejemplos

El caso más reciente de este tipo de ciberataque es el de Air Europa, que parecía seguir los pasos de British Airways, la arolínea que en 2018 sufrió un ciberataque similar mediante esta técnica, comprometió los datos de 380.000 operaciones y fue multada por 213 millones de euros.

Desde entonces se confirmó el potencial riesgo del formjacking. La Universidad de Lancaster fue uno de los centros que investigó y esta técnica y determinó que solo se necesitan unas 20 líneas de código para realizarla y que la operación de obtener los datos de las tarjetas se conseguía en milisegundos, lo que ayuda a que el ciberataque pase desapercibido.

Cómo protegerse

Aunque es difícil protegerse al 100% de estos ataques, existen grandes empresas que ofrecen soluciones. Son las pasarelas de pago de los grandes bancos, de plataformas como PayPal o sistemas como Google Pay, entre otras.

Un hacker filtra 26.000 millones de datos / PEXELS

Con estos sistemas la información bancaria no se comparte en la web del comercio electrónico, con lo que al menos por esta vía queda protegida. Para que hubiera un problema, deberían ser estos sistemas de pago los afectados directamente y, como es lógico, empresas como Google o Paypal disponen de recursos para evitarlo.

Qué hacer si he sido víctima

A los usuarios nos toca fijarnos bien a la hora de pagar. Ninguna empresa, por muy protegida que esté, puede asegurar perfectamente que sus sistemas son seguros. Como usuarios hay que fijarse en qué tipo de web insertamos nuestros datos. Se aconseja revisar la tarjeta habitualmente y monitorizar si se ha realizado un pago extraño.

En ese caso hay que contactar con la entidad bancaria, que tiene la obligación de reintegrar el pago si no hemos sido nosotros los que lo hemos hecho. Además de las tarjetas virtuales, algunos bancos han empezado a ofrecer tarjetas de crédito con un CVV dinámico que cambia cada varios minutos.