Los ataques de web skimming roban datos de tarjetas de crédito de las páginas de pago sin ser detectados

Titulares principales de Fox News para el 22 de enero

Aquí están los titulares principales Fox News . Echa un vistazo a lo más destacado en FoxNews.com.

NUEVO¡Ahorapuedes escuchar los artículos Fox News !

Las compras en línea resultan familiares y rápidas, pero una amenaza oculta sigue operando entre bastidores.

Los investigadores están siguiendo una campaña de skimming web de larga duración que tiene como objetivo a empresas conectadas a las principales redes de pago. El skimming web es una técnica mediante la cual los delincuentes añaden secretamente código malicioso a las páginas de pago para poder robar los datos de pago a medida que los compradores los introducen.

Estos ataques se producen de forma silenciosa dentro del navegador y, a menudo, no dejan rastros evidentes. La mayoría de las víctimas solo descubren el problema cuando aparecen cargos no autorizados en sus extractos bancarios.

Suscríbete a mi informe gratuito CyberGuy Report
Recibe mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrás acceso instantáneo a mi Ultimate Scam Survival Guide (Guía definitiva para sobrevivir a las estafas), gratis al unirte a mi CYBERGUY.COM .

EL MALWARE DE WHATSAPP WEB DIFUNDE AUTOMÁTICAMENTE TROYAN BANCARIOS

Una persona sosteniendo un teléfono mientras compra por Internet.

Los ataques de skimming web se ocultan en las páginas de pago y roban los datos de las tarjetas cuando los compradores los introducen. (Kurt «CyberGuy» Knutsson)

¿Qué es Magecart y por qué es importante?

Magecart es el nombre que los investigadores utilizan para referirse a los grupos especializados en ataques de web-skimming. Estos ataques se centran en las tiendas online en las que los compradores introducen sus datos de pago durante el proceso de compra. En lugar de piratear directamente los bancos o las redes de tarjetas, los atacantes introducen código malicioso en la página de pago de la tienda. Ese código está escrito en JavaScript, un tipo de código web muy utilizado para hacer que las páginas sean interactivas. Los sitios legítimos lo utilizan para cosas como formularios, botones y procesamiento de pagos.

En los ataques Magecart, los delincuentes utilizan ese mismo código para copiar de forma secreta los números de las tarjetas, las fechas de caducidad, los códigos de seguridad y los datos de facturación a medida que los compradores los introducen. El proceso de pago sigue funcionando y la compra se realiza, por lo que no hay ninguna señal de alerta evidente. Magecart describió originalmente los ataques contra tiendas online basadas en Magento. Hoy en día, el término se aplica a las campañas de web-skimming en muchas plataformas de comercio electrónico y sistemas de pago.

¿A qué proveedores de pagos se está apuntando?

Los investigadores afirman que esta campaña tiene como objetivo a comerciantes vinculados a varias redes de pago importantes, entre las que se incluyen:

American Express
Club Diners
Discover, una filial de Capital One
JCB Co., Ltd.
Mastercard
UnionPay

Las grandes empresas que dependen de estos proveedores de pagos se enfrentan a un mayor riesgo debido a la complejidad de sus sitios web y a las integraciones de terceros.

700CREDIT DATA BREACH EXPOSES SSNS OF 5.8M CONSUMERS

Una mujer sostiene una tarjeta de crédito mientras escribe en tu ordenador portátil.

Los delincuentes utilizan código oculto para copiar los datos de pago mientras la compra se realiza con normalidad. (Kurt «CyberGuy» Knutsson)

Cómo los atacantes introducen skimmers en las páginas de pago

Los atacantes suelen entrar a través de puntos débiles que son fáciles de pasar por alto. Las vías de entrada más comunes son los scripts de terceros vulnerables, los complementos obsoletos y los sistemas de gestión de contenidos sin parches. Una vez dentro, inyectan JavaScript directamente en el proceso de pago. El skimmer supervisa los campos del formulario relacionados con los datos de la tarjeta y los datos personales, y luego envía discretamente esa información a los servidores controlados por los atacantes.

Por qué los ataques de web skimming son difíciles de detectar

Para evitar ser detectado, el JavaScript malicioso está muy ofuscado. Algunas versiones pueden eliminarse a sí mismas cuando detectan una sesión de administrador, lo que hace que las inspecciones parezcan limpias. Los investigadores también descubrieron que la campaña utiliza alojamiento a prueba de balas. Estos proveedores de alojamiento ignoran los informes de abuso y las solicitudes de retirada, lo que proporciona a los atacantes un entorno estable para operar. Dado que los skimmers web se ejecutan dentro del navegador, pueden eludir muchos de los controles antifraude del lado del servidor que utilizan los comerciantes y los proveedores de pagos.

¿A quiénes afectan más los ataques de skimming web de Magecart?

Las campañas de Magecart afectan a tres grupos al mismo tiempo:

Los compradores que, sin saberlo, revelan los datos de sus tarjetas
Comerciantes cuyas páginas de pago se han visto comprometidas
Proveedores de servicios de pago que detectan el fraude después de que se ha producido el daño.

Esta exposición compartida ralentiza la detección y dificulta la respuesta.

UN NUEVO MALWARE PUEDE LEER TUS CHATS Y ROBAR TU DINERO

¿Vendes por Internet? Ten cuidado con las tácticas engañosas que utilizan los estafadores para engañarte.

Las protecciones sencillas, como las tarjetas virtuales y las alertas de transacciones, pueden limitar los daños y detectar el fraude más rápidamente. (Kurt «CyberGuy» Knutsson)

Cómo mantenerte seguro como comprador

Aunque los compradores no pueden reparar las páginas de pago comprometidas, algunos hábitos inteligentes pueden reducir la exposición, limitar el uso de los datos robados y ayudar a detectar el fraude más rápidamente.

1) Utiliza tarjetas virtuales o de un solo uso.

Las tarjetas virtuales y de un solo uso son números de tarjetas digitales que se vinculan a tu cuenta de crédito o débito real sin revelar el número real. Funcionan como una tarjeta normal al pagar, pero añaden una capa adicional de protección. La mayoría de las personas ya tienen acceso a ellas a través de los servicios que utilizan a diario, entre los que se incluyen:

Principales bancos y emisores de tarjetas de crédito que ofrecen números de tarjetas virtuales dentro de sus aplicaciones.

Las aplicaciones de monedero móvil como Apple Pay y Google generan números de tarjeta temporales para compras online, manteniendo oculto tu número de tarjeta real.

Algunas aplicaciones de pago y herramientas de navegador que crean números de tarjeta de un solo uso o vinculados a un comercio concreto.

Una tarjeta de un solo uso suele funcionar para una sola compra o caduca poco después de su uso. Una tarjeta virtual puede permanecer activa para una tienda y pausarse o eliminarse más tarde. Si un ataque de skimming web captura uno de estos números, los atacantes no suelen poder reutilizarlo en otro lugar ni realizar cargos repetidos, lo que limita el daño financiero y facilita la detención del fraude.

2) Activa las alertas de transacciones.

Las alertas de transacciones te avisan en el momento en que se utiliza tu tarjeta, incluso para compras pequeñas. Si el skimming web da lugar a un fraude, estas alertas pueden detectar rápidamente los cargos no autorizados y darte la oportunidad de bloquear la tarjeta antes de que las pérdidas aumenten. Por ejemplo, un cargo de prueba de 2 dólares en tu tarjeta puede indicar un fraude antes de que aparezcan compras más importantes.

3) Bloquea las cuentas financieras.

Utiliza contraseñas seguras y únicas para los portales bancarios y de tarjetas con el fin de reducir el riesgo de apropiación de cuentas. Un gestor de contraseñas te ayuda a generarlas y almacenarlas de forma segura.

A continuación, comprueba si tu correo electrónico se ha visto afectado por alguna filtración anterior. Nuestro gestor de contraseñas favorito incluye un escáner de filtraciones integrado que comprueba si tu dirección de correo electrónico o tus contraseñas han aparecido en filtraciones conocidas. Si encuentras alguna coincidencia, cambia inmediatamente cualquier contraseña reutilizada y protege esas cuentas con credenciales nuevas y únicas.

Echa un vistazo a los mejores gestores de contraseñas evaluados por expertos de 2026 en Cyberguy.com.

4) Instala un software antivirus potente.

Un buen software antivirus puede bloquear las conexiones a dominios maliciosos utilizados para recopilar datos robados y advertirte sobre sitios web poco seguros.

La mejor manera de protegerte de los enlaces maliciosos que instalan malware y que podrían acceder a tu información privada es instalar un software antivirus potente en todos tus dispositivos. Esta protección también puede alertarte sobre correos electrónicos de phishing y estafas de ransomware, manteniendo a salvo tu información personal y tus activos digitales.

Descubre mi selección de los mejores antivirus de 2026 para tus dispositivos Windows, Mac, Android e iOS en Cyberguy.com.

5) Utiliza un servicio de eliminación de datos.

Los servicios de eliminación de datos pueden reducir la cantidad de información personal que se expone en línea, lo que dificulta a los delincuentes la tarea de emparejar los datos robados de las tarjetas con los datos completos de identidad.

Aunque ningún servicio puede garantizar la eliminación completa de tus datos de Internet, un servicio de eliminación de datos es realmente una opción inteligente. No son baratos, pero tampoco lo es tu privacidad. Estos servicios hacen todo el trabajo por ti, supervisando activamente y borrando sistemáticamente tu información personal de cientos de sitios web. Es lo que me da tranquilidad y ha demostrado ser la forma más eficaz de borrar tus datos personales de Internet. Al limitar la información disponible, reduces el riesgo de que los estafadores crucen los datos de las filtraciones con la información que puedan encontrar en la web oscura, lo que les dificulta atacarte.

Echa un vistazo a mis mejores opciones de servicios de eliminación de datos y obtén un análisis gratuito para averiguar si tu información personal ya está en la web visitando Cyberguy.com.

Realiza un análisis gratuito para averiguar si tu información personal ya está en la web: Cyberguy.com.

6) Esté atento a cualquier actividad inesperada en tu tarjeta.

Revisa tus extractos con regularidad, incluso los cargos pequeños, ya que los estafadores suelen probar las tarjetas robadas con transacciones de bajo valor.

Conclusiones clave de Kurt

El skimming web de Magecart muestra cómo los atacantes pueden aprovechar las páginas de pago de confianza sin alterar la experiencia de compra. Aunque los consumidores no pueden reparar los sitios comprometidos, unas sencillas medidas de seguridad pueden reducir el riesgo y ayudar a detectar el fraude a tiempo. Los pagos en línea se basan en la confianza, pero esta campaña demuestra por qué esa confianza siempre debe ir acompañada de precaución.

¿Saber cómo funciona el skimming web te hace replantearte la seguridad real de los pagos online? Cuéntanoslo escribiéndonos a Cyberguy.com.

HAZ CLIC AQUÍ PARA DESCARGAR LA APP DE FOX NEWS

Suscríbete a mi informe gratuito CyberGuy Report
Recibe mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrás acceso instantáneo a mi guía definitiva para sobrevivir a las estafas, gratuita al unirte a mi CYBERGUY.COM .

Kurt «CyberGuy» Knutsson es un galardonado periodista tecnológico que siente un profundo amor por la tecnología, los dispositivos y los gadgets que mejoran la vida, y que colabora con Fox News FOX Business la mañana en el programaFOX & Friends». ¿Tienes alguna pregunta sobre tecnología? Suscríbete al boletín gratuito CyberGuy Newsletter de Kurt y comparte tu opinión, ideas para artículos o comentarios en CyberGuy.com.

Vídeos recomendados

Artículos recomendados

Apple recurre a Google para impulsar Apple Intelligence

La aplicación «Are You Dead?» aborda la crisis mundial de soledad

FBI el uso de códigos QR para el phishing en el ciberespionaje norcoreano

La filtraciónDHS Illinois expone los registros de 700 000 residentes

La FDA aprueba el primer dispositivo cerebral doméstico para tratar la depresión

Apple advierte que millones de iPhones están expuestos a ataques

¿Pueden los camiones autónomos realmente hacer que las autopistas sean más seguras?

Alexa.com lleva Alexa+ a tu navegador.

El gigante de la banda ancha de fibra óptica investiga una filtración que afecta a un millón de usuarios

El nuevo eVTOL personal promete vuelos personales por menos de 40 000 dólares.

El malware de WhatsApp Web propaga automáticamente un troyano bancario

Un dispositivo revolucionario promete detectar la glucosa sin agujas

Boletín informativo Fox News : Alarma en el centro de datos

Aumento de las estafas en enero: por qué se dispara el fraude a principios de año

ChatGPT garantiza la privacidad de las conversaciones sobre salud.

Aumento de restablecimientos de Instagram : protege tu cuenta

La FCC toma medidas drásticas contra las infracciones en la notificación de llamadas automáticas

Extensiones maliciosas para Mac roban carteras criptográficas y contraseñas

NASA humanos al espacio profundo después de más de 50 años con la misión lunar Artemis II, prevista para febrero.

Una empresa cristiana dedicada a los videojuegos afirma que su misión es invitar a los niños «a un mundo de esperanza y verdad divina».

Ben Affleck minimiza la amenaza de la IA para Hollywood una nueva entrevista

Los videojuegos llegan a la televisión en streaming

Kodiak aporta seguridad al transporte por carretera de larga distancia, afirma tu vicepresidente.

FBI al fugitivo más buscado tras años huido

Trump recurre a Palantir para perseguir el fraude con un «traje de Ironman» de IA.

OpenAI una demanda por ChatGPT una «espiral delirante» en un usuario ChatGPT

MÍRALO: Un hombre se pone delante del vehículo de un policía y parece caerse por su propio pie.

La IA afectará «cada uno de los aspectos de nuestra vida», afirma Charles .

La generación Z se desconecta con la última tendencia de «desintoxicación digital»

El escándalo de las imágenes generadas por IA de Grok suscita preocupación por la seguridad en Internet

DHS el acceso de los legisladores a ICE tras la protesta Omar

Según los expertos, el autor del tiroteo en la Universidad de Brown demostró plena conciencia en la transcripción de tu confesión.

CAOS en Minneapolis mientras los manifestantes gritan contra ICE

Wegmans advierte a los compradores sobre la recopilación de datos biométricos ante la creciente preocupación por la privacidad.

FBI retirado FBI explica cómo se desmanteló desde dentro la organización criminal real inspirada en la serie «Los Soprano».

Los bomberos se arrastran sobre el hielo fino para rescatar a un perro atrapado en un estanque helado.

Una encuesta revela que uno de cada cinco estudiantes ha tenido una relación sentimental con la IA.

Virginia para un importante cambio en la legislación sobre redes sociales

MIRA: Vientos de 70 millas por hora hacen volar a una mujer