¿Utilizas Bizum? Ten cuidado con el E-Skimming, te contamos todo lo que necesitas saber

Tradicionalmente la adquisición ilícita de los datos vinculados a medios de pago se ha materializado de forma física, mediante el uso de dispositivos skimmer o shimmer1 situados en los lectores de tarjeta de cajeros automáticos de las entidades bancarias o terminales de punto de ventas (TPVs) con los que los delincuentes “copiaban” los datos asociados a cada medio de pago.

En este caso, la diferencia principal con otro tipo de ataques radica en que ahora el punto de compromiso no es el dispositivo del usuario, como por ejemplo mediante la infección de un smartphone con un troyano bancario, sino el sitio web o la pasarela de pago a la que accede para introducir las credenciales de pago.

Básicamente se basa en la inserción por parte de los ciberdelincuentes de un código malicioso en las propias páginas web a través de las cuales se procesan los pagos de comercio online. De esta manera, cuando la víctima introduce la información de sus credenciales de pago, esta pasa a un servidor controlado por la organización criminal. Tanto el cliente como la tienda online no son conscientes del compromiso de los datos, llegando en muchos casos incluso a confirmarse la transacción de una forma correcta.

¿Cómo evitar el E-Skimming?

Todo el software utilizado debe estar actualizado a la última versión disponible. Esta premisa se aplica también al gestor de contenidos utilizado para el comercio electrónico, el servidor que lo aloja y todo el software que tenga instalado, de esta manera, los ciberdelincuentes no podrán valerse de vulnerabilidades conocidas para obtener acceso.

Cuenta con unas credenciales robustas

Es importante que las credenciales de acceso al comercio electrónico sean sólidas, porque una de las formas en que los ciberdelincuentes pueden acceder a una tienda es a través de ataques automatizados que utilizan técnicas de fuerza bruta para probar diferentes combinaciones de usuarios y contraseñas.

El uso de nombres de usuario inusuales y contraseñas seguras puede reducir en gran medida las posibilidades de que los ciberdelincuentes accedan a la red.

En caso de ser posible, se debe habilitar un doble factor de autenticación.

Publicado el 28 de octubre de 2022