¿Qué es el formjacking?

De Esteban Sardanyés

Formjacking

Los ciberataques, sobre todo los de ransomware y phishing, han aumentado significativamente en España, con un crecimiento del 40% en el último año, provocando que las empresas se enfrenten cada vez, a amenazas más frecuentes y difíciles de detectar, afectando directamente a su actividad empresarial. Su información y datos cada vez están más comprometidos y expuestos a amenazas cibernéticas, sobre todo aquellas focalizadas en negocios online o realizan gran parte de su actividad empresarial a través de software. .

eBook - Ciberataques más peligrosos

Pero no solo el ransomware y el phishing son una amenaza para las empresas, sino que encontramos otro tipo de ciberataques, menos comunes, pero igual de peligrosos, que pueden poner en riesgo la seguridad de las empresa. Hablamos de formjacking.

¿Cómo funciona un ataque de formjacking?

El formjacking es una técnica que consiste en el robo de credenciales bancarias a través de la inserción de código malicioso en las páginas web afectadas. Este ciberataque afecta principalmente a las páginas de comercio online.

A través de una vulnerabilidad detectada en la página web, el ciberdelincuente añade el script malicioso en el proceso de pago de la web. De esta manera, cuando el usuario realiza el pago, está enviando los datos bancarios al ciberdelincuente que ha insertado el malware. 

Los ciberdelincuentes que han realizado el ciberataque, rara vez se aprovechan de los datos robados, en su lugar, los venden en páginas de la Dark Web.

Nueva llamada a la acción

¿Cómo protegerse del formjacking?

Como usuarios del negocio infectado

Como usuarios de la página afectada, debemos confiar en que la empresa a la que estamos a punto de ceder nuestras credenciales bancarias tenga las medidas de seguridad requeridas.

Una de las formas más eficaces que hay de estar seguro cuando se realiza un pago por internet es realizarlo a través de otras plataformas de pago como Paypal, Google Play, Apple Pay, entre otras, ya que, nuestra información bancaria no se comparte con la página web infectada. Además, estas plataformas cuentan con muchos más recursos para evitar estos ciberataques.

Como negocio online afectado por el ciberataque

Si lo miramos desde la perspectiva del negocio, este puede adoptar una serie de medidas de prevención para evitar ser víctima de este tipo de ataques:

  • Mantener actualizado el software. Las actualizaciones ayudan a encontrar cualquier vulnerabilidad o brecha de seguridad en un sistema y parchearla.

  • Herramientas de detección de intrusos. Utilizar software para monitorear la integridad de los archivos del servidor. Esto ayuda a detectar modificaciones no autorizadas, como la inyección de scripts maliciosos en formularios.

  • Validación del código. Asegurar que el código de la página web esté libre de vulnerabilidades comunes, como XSS (Cross-Site Scripting) y CSRF (Cross-Site Request Forgery).

  • Utilizar HTTPS. El protocolo HTTPS sirve para cifrar la comunicación entre el cliente y el servidor. Esto asegura que los datos intercambiados no sean interceptados o manipulados por terceros.

Ejemplos de ciberataques de formkacking

TicketMaster (2018)

Ticketmaster fue víctima de un ataque de formjacking en 2018. El malware estaba oculto en el código del formulario de pago en línea, lo que permitió a los atacantes robar datos de tarjetas de crédito de los usuarios.

El nombre, domicilio, correo electrónico, número de teléfono y credenciales bancarias de miles de usuarios de la plataforma se vieron comprometidos a causa del malware que había en una de las páginas del negocio online.

Air Europa (2023)

La aerolínea notificó en octubre de 2023 que había sufrido un hackeo en su sistema de pago. Este ciberataque afectó a unos 100.000 clientes, que tuvieron que anular las tarjetas con las que realizaron los pagos a la aerolínea.  

Air Europa ya se enfrentó a un ciberataque de este tipo en 2018, donde los datos bancarios de casi 500.000 clientes se vieron afectados. Por este ciberataque la Agencia Española de Protección de Datos le impuso una multa de 600.000 euros por no adoptar las medidas adecuadas para proteger los datos de sus clientes.

Actualmente, estas multas se han endurecido y se podría enfrentar a una sanción millonaria en el caso de que se demuestre que no tenían las medidas necesarias para que sus clientes pudieran hacer el pago de forma segura. 

Es importante, cuando se manejan  grandes cantidades de datos sobre clientes, trabajadores o proveedores, implementar medidas de seguridad adecuadas para evitar la fuga de estos datos y que lleguen a manos de ciberdelincuentes. 

En ESED, además de diseñar soluciones a medida para cada cliente, también hemos desarrollado nuestras propias herramientas específicas en ciberseguridad para empresas. Petam.io, se trata de un escáner online automático para detectar brechas de seguridad y vulnerabilidades en un sitio web, y WWatcher, previene la fuga de datos y robo de información interna en empresas ante el robo de contraseñas.


Si tienes cualquier pregunta acerca de nuestros servicios, no dudes en contactar con nuestro equipo de expertos.