{"id":22982,"date":"2020-06-24T13:23:23","date_gmt":"2020-06-24T11:23:23","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22982"},"modified":"2020-06-24T13:23:23","modified_gmt":"2020-06-24T11:23:23","slug":"web-skimming-with-ga","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/web-skimming-with-ga\/22982\/","title":{"rendered":"Google Analytics como canal de exfiltraci\u00f3n de datos"},"content":{"rendered":"

El web skimming<\/em>, un m\u00e9todo bastante com\u00fan para obtener datos sobre los titulares de las tarjetas de los visitantes de las tiendas online<\/em>, es una pr\u00e1ctica tradicional de los ciberdelincuentes. Sin embargo, recientemente, nuestros expertos han descubierto una innovaci\u00f3n bastante peligrosa que implica el uso de Google Analytics para extraer datos robados. A continuaci\u00f3n, profundizaremos en el tema y mostraremos por qu\u00e9 es peligroso y c\u00f3mo lidiar ello.<\/p>\n

C\u00f3mo funciona el web skimming<\/em><\/h2>\n

Los atacantes inyectan c\u00f3digo malicioso en las p\u00e1ginas del sitio web objetivo. \u00bfC\u00f3mo lo hacen? A veces utilizan la fuerza bruta (o roban) para conseguir la contrase\u00f1a de una cuenta de administrador; otras explotan vulnerabilidades en el sistema de gesti\u00f3n de contenidos (CMS por sus siglas en ingl\u00e9s) o en uno de sus complementos de terceros y otras administran la inyecci\u00f3n a trav\u00e9s de un formulario de entrada incorrectamente codificado.<\/p>\n

El c\u00f3digo inyectado registra todas las acciones del usuario (incluidos los datos introducidos de su tarjeta bancaria) y transfiere toda esta informaci\u00f3n a su propietario. Por lo tanto, en la gran mayor\u00eda de los casos, el web skimming <\/em>es un tipo de secuencia de comandos en sitios cruzados<\/a>.<\/p>\n

Por qu\u00e9 Google Analytics<\/h2>\n

La recopilaci\u00f3n de datos es solo la mitad del trabajo, el malware<\/em> todav\u00eda necesita enviar toda la informaci\u00f3n al atacante. Sin embargo, el web skimming<\/em> existe desde hace a\u00f1os, por lo que la industria ha ido desarrollando mecanismos para contraatacar. Uno de estos m\u00e9todos implica el uso de una Pol\u00edtica de seguridad de contenido (CSP por sus siglas en ingl\u00e9s), un encabezado t\u00e9cnico que enumera todos los servicios que tienen derecho a recopilar informaci\u00f3n en un sitio o p\u00e1gina en particular. Si el servicio utilizado por los ciberdelincuentes no figura en el encabezado, los malhechores no podr\u00e1n retirar la informaci\u00f3n que recopilen. Ante tales medidas de protecci\u00f3n, a algunos se les ocurri\u00f3 la idea de usar Google Analytics.<\/p>\n

Hoy en d\u00eda, casi todos los sitios web monitorizan minuciosamente las estad\u00edsticas de los visitantes. Las tiendas online<\/em> lo hacen como algo natural y la herramienta m\u00e1s pr\u00e1ctica para este prop\u00f3sito es Google Analytics, un servicio que permite la recopilaci\u00f3n de datos en funci\u00f3n de muchos par\u00e1metros y que la utilizan aproximadamente 29 millones<\/a> de sitios. La probabilidad de que la transferencia de datos a Google Analytics est\u00e9 permitida en la Pol\u00edtica de Seguridad de Contenido de una tienda online<\/em> es extremadamente alta.<\/p>\n

Para recopilar estad\u00edsticas de un sitio web, todo lo que tienes que hacer es configurar los par\u00e1metros de seguimiento y agregar un c\u00f3digo de seguimiento a estas p\u00e1ginas. En lo que respecta al servicio, si puedes agregar este c\u00f3digo, te considera el propietario leg\u00edtimo del sitio. Entonces, el script<\/em> malicioso de los atacantes recopila datos de los usuarios y luego, utilizando su propio c\u00f3digo de seguimiento, los env\u00eda a trav\u00e9s del Protocolo de medici\u00f3n de Google Analytics directamente a su cuenta. En esta publicaci\u00f3n de Securelist<\/a> encontrar\u00e1s m\u00e1s informaci\u00f3n sobre el mecanismo de ataque y los indicadores de compromiso.<\/p>\n

C\u00f3mo actuar<\/h2>\n

Las principales v\u00edctimas de este ataque son los usuarios que introducen online<\/em> los datos de sus tarjetas bancarias. Pero en general, el problema deber\u00eda abordarse desde el lado de las empresas que admiten sitios web con formularios de pago. Para evitar la fuga de datos del usuario desde tu sitio web, recomendamos que:<\/p>\n