El comercio electrónico enfrenta un riesgo creciente conocido como e-skimming, que roba datos de tarjetas de crédito en tiendas online legítimas de manera silenciosa. Esta modalidad difiere del skimming tradicional, que usa dispositivos físicos en cajeros para clonar tarjetas.
Mediante la inyección de scripts maliciosos en las páginas de pago, el e-skimming capta números, códigos CVV, correos e incluso fechas de vencimiento antes de que la compra se confirme. Esto lo hace difícil de detectar tanto para usuarios como para comercios.
Según el Informe Anual de Inteligencia sobre Fraude en Pagos, los ataques de e-skimming casi se triplicaron entre 2023 y 2024, afectando más de 11 mil dominios de e-commerce, cifra récord y en constante crecimiento.
Los datos robados se venden en la dark web por precios bajos y se utilizan rápidamente para compras fraudulentas o vaciar cuentas, causando pérdidas económicas significativas y complicaciones para las víctimas.
El e-skimming opera en sitios web necesarios para la funcionalidad de la tienda, lo que dificulta su detección y bloqueo por parte de comercios, dejando a usuarios en riesgo sin señales visibles.
Este tipo de fraude ocurre generalmente antes de que el comprador finalice la transacción, un proceso que hace que el robo pase inadvertido y se genere un grave problema de seguridad digital.
La solución requiere que tanto consumidores como comercios adopten medidas efectivas de prevención y estén alertas a estas amenazas digitales para proteger su información financiera.
Actuación sigilosa
Actualmente, las pasarelas de pago integran múltiples códigos externos, desde herramientas de análisis hasta widgets de pago y rastreadores, los cuales facilitan la inserción de código malicioso si alguno está comprometido.
Un solo plugin infectado puede afectar masivamente a diversas tiendas en línea, ejecutándose localmente en el navegador del cliente para robar datos incluso antes de que confirme su compra.
Las tarjetas y datos robados llegan directamente a mercados clandestinos en la dark web, donde se venden a bajo precio para su uso inmediato en fraudes, vaciados de cuentas o lavado de dinero.
Para las víctimas, el impacto financiero directo se suma al desgaste emocional y el pago de tiempo en procesos para bloquear tarjetas, presentar denuncias y recuperar sus finanzas.
El desconocimiento generalizado acerca del funcionamiento del e-skimming contribuye a que este fraude persista y se propague, haciendo necesaria la educación en temas de seguridad online.
Impacto en la economía
El e-skimming provoca pérdidas millonarias a globales, afectando a consumidores y comercios, generando un costo considerable en fraudes y recuperación.
Más allá de la cifra económica, existe un impacto social importante: las víctimas sufren ansiedad, pérdida de confianza en el comercio electrónico y desgaste en procesos legales y bancarios.
Las empresas enfrentan gastos en seguridad, atención al cliente y reputación dañada, además de potenciales sanciones regulatorias que afectan la continuidad de sus operaciones. El aumento constante de ataques de e-skimming presiona a la industria de pagos y autoridades a implementar normas más estrictas y soluciones tecnológicas avanzadas.
Estadísticas recientes muestran un aumento notable en la frecuencia y sofisticación de estos fraudes, lo que hace urgente la colaboración entre sectores para la prevención.
Comercio y proveedores
Una defensa efectiva contra el eskimming implica implementar medidas técnicas específicas desde el ámbito tecnológico y operativo para los comercios y proveedores de servicios digitales.
Es fundamental mantener todos los sistemas, plugins y componentes de las páginas de pago actualizados para evitar vulnerabilidades que permitan la inyección de código malicioso.
El monitoreo continuo de los scripts que se ejecutan en el sitio web permite detectar comportamientos inusuales o códigos desconocidos que podrían estar robando información.
Adoptar políticas de seguridad como Content Security Policy ayuda a restringir la ejecución de scripts no autorizados, limitando la posibilidad de ataques.
La segmentación y aislamiento de los procesos críticos de pago en entornos controlados evita que el código malicioso tenga acceso a la información sensible. La encriptación de datos en tránsito y almacenamiento, junto con la autenticación fuerte de usuarios y sistemas, contribuye a reducir los riesgos de robo.
