Conoce Atico34 - Solicita presupuesto
CiberseguridadEcommerce

MageCart: La principal ciberamenaza para los ecommerce

Entre las ciberamenazas que pueblan Internet y que tienen en el punto de mira a los ecommerce o tiendas online MageCart es una de las más prolíficas y recurrentes. En este artículo explicaremos en qué consisten los ataques de MageCart y cómo nos podemos proteger de ellos.

¿Qué es MageCart?

MageCart es un conjunto de varios grupos cibercriminales (en Wikipedia nos dicen que hasta siete) que desde, al menos el año 2016, se dedican a atacar comercios online para inyectar en ellos scripts maliciosos con los que robar información de tarjetas bancarias de sus clientes, cuando estos introducen sus datos en los formularios de pago.

Por tanto, estamos ante un grupo que se dedica al skimming web de tarjetas de crédito, probablemente, una de las formas de pago online más usadas en la mayoría de tiendas online y que podría estar reportando a estos grupos criminales grandes beneficios.

Breve historia de las campañas de MageCart

Como decíamos, al menos se tienen noticias de la existencia de MageCart desde el año 2016, ya que de acuerdo a los investigadores de RiskIQ, MageCart habría lanzado diferentes campañas para atacar comercios online de todo tipo.

Entre las tiendas online afectadas entonces por MageCart estuvieron Ticketmaster, Amazon CloudFront o Forbes.

Unos años después, en 2018, la compañía aérea British Airways también fue víctima de un robo masivo de datos de tarjetas bancarias obra de MageCart, que afectó a 500.000 clientes. Esta brecha de seguridad le supuso a la compañía una multa de 183 millones de libras por parte de la Oficina del Comisionado de Información.

En 2019, los hackers detrás de MageCart habrían lanzado otras dos campañas masivas para inyectar su código malicioso en diferentes páginas webs de comercios electrónicos.

En la primera campaña al menos 962 ecommerce se vieron afectados en tan solo 24 horas. En este caso, parece que el vector de entrada fue una vulnerabilidad de inyección SQL en la plataforma Magento, una de las plataformas de ecommerce más populares y usadas por pequeños comerciantes online.

En la segunda campaña, el código se habría añadido a 17.000 dominios a través de archivos JavaScript en buckets (contenedores de archivos) de Amazon S3 mal configurados por los propios comercios electrónicos afectados.

Actualmente, MageCart sigue realizando campañas de infección, aprovechando en muchas ocasiones vulnerabilidades informáticas para llevar a cabo sus ataques.

¿Cómo funciona MageCart?

Los cibercriminales de este grupo emplean diferentes métodos de ataque en sus campañas, pero en la mayoría de ellas MageCart inyecta JavaScript con skimmers maliciosos para comprometer la tienda online.

Estas inyecciones de código malicioso se realizan casi siempre aprovechando vulnerabilidades del sitio web o configuraciones mal hechas del software empleado en ellas (lo que se denomina ataque a la cadena de suministro). Estos códigos pueden infiltrarse en cualquier elemento que emplee JavaScript en la web, incluso en aplicaciones legítimas, lo que supone un grave problema, porque así son capaces de evitar la detección durante más tiempo.

Una vez que el skimmer está instalado en la web de la tienda online, este se ocupa de monitorizar los eventos de la web para detectar cuando se introduce información de tarjetas de crédito. Estos datos se registran y guardan usando diferentes métodos y se envían posteriormente a un servidor externo, donde los cibercriminales los recogen.

Cabe señalar que los ataques llevados a cabo por MageCart son complejos y sofisticados y no siempre emplean el mismo método, lo que dificulta su detención. Además, operan en todo el mundo, puesto que se han detectado casos en ecommerces de diferentes países.

Los datos robados por MageCart son habitualmente vendidos en la Dark Web y pueden usarse para acceder y usar las tarjetas comprometidas para realizar compras, robos e incluso suplantación de identidad.

Consecuencias de MageCart para el ecommerce

Para una tienda online que es víctima de MageCart las consecuencias pueden ser bastante graves.

Por un lado, si muchos de sus clientes se ven afectados por estos robos de datos de tarjetas bancarias, perderá reputación y la posibilidad, ya no solo de mantener a sus clientes habituales, sino también de atraer nuevos, puesto que la desconfianza será máxima.

Y por otro lado, estos ataques generan costes económicos para la tienda online más allá de las pérdidas de ventas y clientes, puesto que las autoridades de control de protección de datos pueden imponerles cuantiosas multas por haber sufrido una brecha de seguridad que ha derivado en el robo y exposición de datos personales de sus clientes (como hemos visto con el caso de British Airways), y además, dichos clientes podrían demandarla por los perjuicios causados.

¿Cómo pueden protegerse las tiendas online de MageCart?

La capacidad de adaptación de MageCart y sus diferentes técnicas y vectores de ataque hacen que sea una amenaza importante para cualquier tienda electrónica, por lo que contar con las herramientas para poder protegerse de ella es clave para poder tener un comercio electrónico seguro, especialmente si no se quieren perder clientes y reputación.

Puesto que MageCart aprovecha en muchas ocasiones diferentes tipos de vulnerabilidades, la primera recomendación pasa por tener siempre actualizado el software que se esté empleando para mantener la tienda online y los métodos de pago.

La segunda recomendación es apostar por una solución de seguridad proactiva, que cuente con un sistema de monitoreo del sistema, que esté continuamente analizando la plataforma y permita detectar la presencia de procesos o códigos sospechosos o anómalos, para poder evitar el robo de datos antes de que ocurra.

En este caso, todas las medidas de protección y defensa son responsabilidad de la tienda online, puesto que el usuario poco puede hacer para evitar el robo de los datos de su tarjeta, ya que confía en la seguridad que brinda un ecommerce legítimo. Aunque sí hay algo que podemos recomendar como compradores y es que reviséis periódicamente los cargos hechos en vuestra tarjeta de crédito, así podréis detectar cualquier actividad sospechosa e informar a vuestro banco y cancelar la tarjeta antes de que sea demasiado tarde.