26 de marzo de 2026

Advierten sobre 'skimmer' que roba datos de pago burlando la seguridad web

Advierten sobre 'skimmer' que roba datos de pago burlando la seguridad web

Investigadores de seguridad han descubierto un nuevo tipo de 'skimmer' (programa malicioso diseñado para robar información) que está atacando sitios de comercio electrónico. Lo preocupante es que este 'skimmer' usa canales de datos WebRTC para enviar y recibir información, logrando así evitar las medidas de seguridad habituales.

Cómo funciona el ataque

En lugar de usar las típicas peticiones HTTP o balizas de imagen, este 'skimmer' utiliza los canales de datos de WebRTC (una tecnología que permite la comunicación en tiempo real entre navegadores) para cargar su código malicioso y extraer los datos de pago robados. Esto significa que incluso si un sitio web tiene una política de seguridad de contenido (CSP) estricta que bloquea las conexiones HTTP no autorizadas, aún puede ser vulnerable a este ataque.

  • El ataque se facilita mediante una vulnerabilidad llamada PolyShell, que afecta a Magento Open Source y Adobe Commerce.
  • PolyShell permite a atacantes no autenticados subir archivos ejecutables arbitrarios a través de la API REST, logrando ejecutar código malicioso en el servidor.
  • Este 'skimmer' se inyecta en la página web y establece una conexión WebRTC a una dirección IP específica (202.181.177[.]177) para robar la información de pago.
  • La comunicación a través de WebRTC utiliza UDP encriptado con DTLS, lo que dificulta su detección por herramientas de seguridad que inspeccionan el tráfico HTTP.

A quién afecta

Este ataque, según se informa, tuvo como objetivo el sitio web de comercio electrónico de un fabricante de automóviles. Además, la vulnerabilidad PolyShell ha sido explotada masivamente desde el 19 de marzo de 2026, con más de 50 direcciones IP participando en la actividad de escaneo. La empresa de seguridad holandesa Sansec ha encontrado ataques de PolyShell en el 56.7% de todas las tiendas vulnerables.

Cómo protegerse

Adobe lanzó una solución para PolyShell en la versión 2.4.9-beta1 el 10 de marzo de 2026, pero el parche aún no ha llegado a las versiones de producción. Como medidas de mitigación, se recomienda a los propietarios de sitios web que bloqueen el acceso al directorio "pub/media/custom_options/" y escaneen las tiendas en busca de 'web shells' (interfaces de acceso remoto), puertas traseras y otro 'malware'.

Qué significa esto para ti

Este nuevo 'skimmer' representa una evolución en las técnicas de robo de datos, ya que evade las protecciones de seguridad web más comunes. Tanto usuarios como empresas deben estar al tanto de esta amenaza y tomar medidas proactivas para protegerse, como mantener sus sistemas actualizados y monitorear el tráfico de red en busca de actividades sospechosas.

Fuente: https://sansec.io/research/webrtc-skimmer
Siguiente → GlassWorm: Nuevo malware usa la blockcha...
Escrito por:
Luis Carreón
📰 Otras noticias del día
GlassWorm: Nuevo malware usa la blockchain de Solana para robar datos y controlar tu navegador
Hacker ruso sentenciado a 2 años por ataques de ransomware con botnet TA551
Administrador de LeakBase arrestado en Rusia: el foro movía millones de credenciales robadas
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio