Un nuevo informe de la firma de seguridad Sansec ha sacudido al ecosistema del comercio electrónico: más de 500 sitios web de e-commerce han sido comprometidos en un sofisticado ataque a la cadena de suministro, y lo más preocupante es que el código malicioso llevaba seis años oculto antes de activarse recientemente. Esta estrategia de infiltración silenciosa ha encendido todas las alarmas entre especialistas en ciberseguridad.
¿Qué ocurrió exactamente?
Los atacantes consiguieron infectar al menos tres proveedores de software ampliamente utilizados por tiendas online que emplean Magento, una plataforma de código abierto adquirida por Adobe en 2018. Los proveedores comprometidos son Tigren, Magesolution (MGS) y Meetanshi. En algunos casos, el malware sigue presente en las versiones distribuidas, lo que mantiene abierto el riesgo de nuevas infecciones.
Uno de los aspectos más desconcertantes es que el malware permaneció inactivo durante años, evitando cualquier tipo de detección, hasta activarse para desplegar funciones que permiten ejecutar código malicioso directamente en los navegadores de los usuarios que visitan las tiendas infectadas. Esto abre la puerta al robo de datos sensibles, como números de tarjetas de crédito y credenciales de acceso.
Cómo funciona el ataque
El código malicioso se introduce como una función dentro del software legítimo. Una pieza clave es una función llamada adminLoadLicense, que, al recibir un archivo específico ($licenseFile), lo ejecuta como código PHP. Este archivo actúa como una especie de llave que, si contiene una clave secreta en la petición web entrante, permite al atacante ejecutar comandos directamente en el servidor del comercio online.
Es como si alguien dejara instalada una cerradura secreta en tu casa hace años, y solo ahora, con la llave adecuada, puede entrar y hacer lo que quiera sin que nadie se dé cuenta.
El objetivo final: skimmers y robo de tarjetas
Una vez que los atacantes tienen acceso total al servidor, su objetivo principal suele ser la inyección de skimmers, que son fragmentos de JavaScript diseñados para capturar información introducida por los usuarios en formularios de pago. Este método, ampliamente conocido por el grupo Magecart, convierte cada compra online en una posible fuga de datos.
El código espía se ejecuta directamente en el navegador del visitante, invisible para los usuarios y difícil de detectar para los administradores. Esto significa que cualquier persona que realice una compra en un sitio comprometido está en riesgo de que sus datos bancarios sean robados.
¿Qué proveedores están afectados?
Sansec identificó 21 extensiones específicas distribuidas por los tres proveedores que contienen el backdoor. Algunas de las más relevantes son:
- De Tigren: Ajaxcart, Ajaxwishlist, MultiCOD
- De Magesolution: Lookbook, StoreLocator, Blog, GDPR, ProductTabs
- De Meetanshi: CookieNotice, FacebookChat, CurrencySwitcher, DeferJS
Además, un cuarto proveedor, Weltpixel, también tiene casos de tiendas infectadas, aunque aún no está claro si la intrusión provino del software en sí o de otras vías.
El riesgo para las grandes empresas
Entre los afectados se encuentra una empresa multinacional valorada en 40 mil millones de dólares, cuyo nombre no ha sido revelado. Esto muestra que ni siquiera las corporaciones más grandes están a salvo de vulnerabilidades introducidas a través de terceros. Lo más inquietante es que Sansec advierte que las tareas de remediación global siguen siendo limitadas, lo que sugiere que muchas tiendas aún no han detectado ni eliminado el código malicioso.
Cómo saber si tu tienda está comprometida
Si gestionas una tienda online que utiliza software de alguno de los proveedores mencionados, Sansec recomienda inspeccionar a fondo el código fuente de tu plataforma. En particular, hay que buscar funciones que ejecuten archivos PHP con nombres sospechosos o estructuras similares a la función adminLoadLicense. También es vital escanear en busca de archivos nuevos o cambios recientes que no se correspondan con actualizaciones legítimas.
Consejos para protegerse como usuario
Para los consumidores, es importante extremar precauciones al realizar compras online. Aquí algunos consejos clave:
- Usa tarjetas de crédito en lugar de débito, ya que ofrecen mejores protecciones ante fraudes.
- Revisa frecuentemente tus estados de cuenta para detectar movimientos sospechosos.
- Utiliza plataformas de pago seguras como PayPal o Apple Pay cuando sea posible.
- Evita hacer compras desde redes Wi-Fi públicas, donde es más fácil interceptar información.
Es imposible saber si un sitio está comprometido solo con mirarlo, así que adoptar hábitos seguros es la mejor defensa.
Un problema estructural que exige soluciones profundas
Este caso no es solo una anécdota técnica: es un recordatorio de la fragilidad inherente a los sistemas interconectados y dependientes de múltiples proveedores. Un solo eslabón comprometido en la cadena de suministro puede desencadenar una crisis de confianza a gran escala.
Ante esto, es urgente que los desarrolladores de software adopten prácticas más rigurosas de auditoría de código, que se implementen sistemas de alerta temprana y que las tiendas estén preparadas para actuar con rapidez ante incidentes de seguridad.