Qué es el “formjacking” y cómo protegerse del robo de CVV de la tarjeta como ha sucedido en Air Europa

Hay una nueva multa que deberá pagar Air Europa. El ciberataque de hoy es sólo el ejemplo más reciente de cómo las grandes empresas aún no cumplen con los requisitos básicos de seguridad. Debido a que algunas tarjetas de crédito pueden haber sido comprometidas, la aerolínea ha solicitado a sus clientes que cancelen sus tarjetas. No sólo han quedado expuestos nombres y números de teléfono, sino también el CVV de seguridad, según un correo electrónico enviado a algunos clientes.

Expertos como Luis Corrons, evangelista de seguridad de Avast, señalan que se utilizó la técnica del formjacking, por lo que es posible que datos tan sensibles hayan sido obtenidos por ciberatacantes. Te lo describimos y te explicamos cómo Air Europa podría haber evitado el apuro actual.

¿Cómo funciona el secuestro de forma?
Es una táctica dirigida principalmente a sitios web de comercio electrónico con el objetivo de obtener información de tarjetas de crédito. Añaden secretamente código malicioso a los sistemas o sitios web de la empresa al ingresar. Se lo conoce como ataque de “hombre en el medio”.

Es decir, se agrega un script malicioso junto a la pasarela de pago después de que un pirata informático utiliza una vulnerabilidad para obtener acceso al sitio web. Con este código, cuando un usuario añade sus datos, también los está enviando a un servidor externo, donde los atacantes reciben la información que de antemano estaba segura.

Por lo general, se basan en fallas en algunos navegadores y JavaScript. Las empresas son vulnerables a ataques a sus sistemas cuando no tienen instalados los parches de seguridad más recientes. Una vez dentro, el código malicioso hace que la información de la tarjeta de crédito del usuario se envíe simultáneamente a un servidor diferente que está bajo el control de los atacantes en línea cuando ingresan su información.

La aerolínea que sufrió un ciberataque comparable en 2018 utilizando este método, comprometiendo los datos de 380.000 operaciones y fue sancionada con una multa de 213 millones de euros, British Airways, parece seguir los pasos de Air Europa.

En ese caso se confirmó el riesgo de secuestro de forma. La Universidad de Lancaster descubrió que la operación para obtener los datos de la tarjeta de crédito solo requería unas 20 líneas de código y se completaba en cuestión de milisegundos, lo que permitió a la aerolínea permanecer ajena al ciberataque.

a quién impacta.
Según un informe de Symantec con datos de 2019, más de 4.800 sitios web al mes se ven afectados por este tipo de ataques. Otro caso notorio ocurrió con Ticketmaster en 2018.

La mayoría de las empresas afectadas eligen su propia plataforma o una plataforma de comercio electrónico con extensiones, como WordPress o Magento, pero cometen el error de no mantenerla actualizada con los parches de seguridad más recientes.

Aquí, el equipo de ciberseguridad de la empresa es el único responsable de asegurarse de que se sigan todos los procedimientos de seguridad. La seguridad y el código del sitio web se han examinado minuciosamente. También se debe vigilar atentamente el tráfico saliente del sitio web para detectar cualquier transferencia de datos inusual que se esté produciendo.