Investigadores de seguridad han descubierto un nuevo skimmer de pagos que utiliza canales de datos WebRTC para recibir payloads y exfiltrar información de tarjetas, logrando eludir los controles de seguridad tradicionales.
A diferencia de los métodos habituales que emplean solicitudes HTTP o beacons de imágenes, este malware establece conexiones cifradas mediante el protocolo DTLS sobre UDP. Este cambio táctico permite que el robo de datos permanezca fuera del alcance de las herramientas de inspección de red diseñadas para monitorizar exclusivamente el tráfico web convencional.
El ataque se ha visto facilitado por una vulnerabilidad denominada PolyShell, que afecta a las plataformas Magento Open Source y Adobe Commerce. Este fallo permite a atacantes no autenticados cargar archivos que podrían ejecutarse si la configuración del servidor es vulnerable, lo que podría derivar en la ejecución de código malicioso. Desde el 19 de marzo de 2026, se ha registrado una actividad de escaneo masiva en la que han participado más de 50 direcciones IP. Según los informes de seguridad, los ataques derivados de PolyShell ya han comprometido aproximadamente al 56,7% de las tiendas identificadas como vulnerables.
El skimmer está diseñado como un script de ejecución automática que establece una conexión de par a par hacia una dirección IP específica. A través de este canal, recupera código JavaScript malicioso que se inyecta posteriormente en la página web para recolectar la información de pago de los clientes. El uso de WebRTC marca una evolución significativa, ya que permite saltar las directivas de CSP; incluso sitios que bloquean conexiones HTTP no autorizadas permanecen expuestos a la exfiltración de datos, ya que WebRTC utiliza conexiones cifradas DTLS sobre UDP, fuera del alcance de las herramientas de inspección HTTP convencionales.
Como medidas de mitigación, se recomienda bloquear el acceso a directorios específicos de medios y realizar escaneos exhaustivos en busca de web shells o backdoors. Aunque se ha lanzado una corrección para PolyShell en una versión beta reciente, el parche todavía no ha llegado a las versiones de producción.
Este episodio subraya la necesidad de estar alerta ante ataques cada vez más sofisticados y de mantener medidas de protección efectivas.
Más información:
Deja una respuesta