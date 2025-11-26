Con el movimiento de las compras navideñas llegando a su punto más alto, los expertos en ciberseguridad advierten sobre el 'e-skimming', un código peligroso de JavaScript que se inyecta en las tiendas online legítimas para robar los datos de las tarjetas de crédito. Es el equivalente en línea al 'skimming' o robo de información con dispositivos físicos que se pueden encontrar en cajeros automáticos. Lo que hace especialmente peligroso al 'e-skimming' es que es invisible. Los usuarios pueden seguir navegando sin darse cuenta de lo que está sucediendo y los negocios normalmente no tienen notificaciones inmediatas de los datos que se están recolectando en segundo plano.

Según el Informe Anual de Inteligencia sobre Fraude en Pagos, el 'e-skimming' es uno de los métodos más efectivos para robar información. En comparación a 2023, la actividad relacionada con estas prácticas casi se triplicó en 2024, con más de 11.000 dominios nuevos de e-commerce infectados, la cifra más alta que se ha registrado en un año. "Los cibercriminales implantan 'skimmers' de JavaScript que se ejecutan en silencio en tu navegador y se llevan en tiempo real los números de tarjetas de crédito, nombres, códigos CVV, correos electrónicos, fechas de caducidad y otra información confidencial, a veces incluso antes de que termines la compra", dice Marijus Briedis, CTO de NordVPN.

De la compra al robo

Las pasarelas de pago de hoy en día cargan una mezcla de códigos externos, incluyendo etiquetas de 'analytics', widgets de pago, rastreadores de marketing, bibliotecas de UX y herramientas de pruebas A/B. Estos son proveedores de confianza, pero no suelen tener seguimiento. Esto abre las puertas para el 'e-skimming', un código malicioso que es ejecutado en la página como un script normal y, una vez termina de cargar, se ejecuta de forma local en el navegador del usuario. Un solo proveedor que sea infectado o un 'plugin' desactualizado puede afectar a todas las tiendas que lo utilizan.

Una vez es inyectado, el código se mezcla con 'scripts' legítimos, lo que permite que se active en regiones u horarios específicos para capturar los datos. El robo incluso puede ocurrir antes de que el usuario confirme la compra. Una vez se lleva la información, suele entrar a hacer parte de una economía informal que se mueve a toda velocidad. Normalmente, los ciberdelincuentes venden los datos en mercados de la dark web y, como muestra una investigación reciente de NordVPN, las tarjetas de crédito no son caras, pueden venderse desde 9 USD aproximadamente. Luego las usan para hacer compras rápidas y fraudulentas, vaciar cuentas o lavar dinero con tarjetas de regalo, casi siempre apenas unas horas después del robo.

"El 'e-skimming' consigue su objetivo porque se esconde en los scripts que las tiendas online necesitan para funcionar", añade Briedis. "Muchos comercios no tienen visibilidad o control sobre esos 'scripts' que se ejecutan en el navegador del usuario, así el código inyectado funciona en silencio, roba toda la información de las tarjetas y desaparece sin dejar rastro".

