Pixel-Shot - stock.adobe.com
Fraudes al acecho durante el Hot Sale 2025, alerta SILIKN
Con miras a la temporada de ventas en línea, los expertos en ciberseguridad hacen un llamado a las empresas a reforzar la seguridad digital de sus tiendas en línea.
La próxima temporada de Hot Sale 2025, que se realizará del 26 de mayo al 3 de junio, contará con la participación de más de 700 marcas que ofrecerán promociones y descuentos exclusivos para compras en línea en todo México.
Esta campaña, que se viene realizando por 12 años consecutivos, busca impulsar el comercio electrónico a través de ofertas especiales, cupones, facilidades de pago y financiamiento disponibles únicamente durante el evento. De acuerdo con la Asociación Mexicana de Venta Online (AMVO), se estima una derrama económica que supere los 30 mil millones de pesos mexicanos (unos 1.560 millones de dólares).
Sin embargo, Víctor Ruiz, fundador de SILIKN, comenta que, ante este contexto, “es fundamental que los consumidores tomen precauciones, ya que han surgido nuevas formas de fraude digital. Entre ellas, destaca el uso de publicidad maliciosa que convierte sitios legítimos de comercio electrónico en portales de phishing sin que los propietarios o anunciantes lo adviertan. Esta sofisticada técnica representa un riesgo creciente para los compradores en línea”.
El experto explica que los ciberdelincuentes están explotando integraciones con las API de Google, utilizando específicamente llamadas JSONP (JSON con relleno), para insertar scripts maliciosos en tiendas en línea legítimas.
Cómo funciona esta vulnerabilidad
El núcleo de esta amenaza reside en el uso indebido de JSONP (JSON con relleno), una técnica obsoleta que permitía a los navegadores cargar datos desde dominios externos mediante etiquetas <script>. Esto permite eludir las restricciones de seguridad que impiden compartir información entre diferentes sitios web.
Una de sus principales fallas es que el contenido recibido se ejecuta automáticamente al cargarse, sin validaciones de seguridad. Esto implica que, si un atacante logra comprometer un punto final de una API que utiliza JSONP, puede inyectar código JavaScript malicioso que se ejecuta de forma inmediata y sin control, facilitando ataques como la inyección de scripts (XSS).
“Si bien esta API fue útil en su momento para integrar datos externos, hoy en día representa un riesgo significativo y ha quedado en desuso por su vulnerabilidad”, afirma Víctor Ruiz, fundador de SILIKN.
“Estos códigos operan de forma sigilosa, redirigiendo a los compradores a sitios de pago falsos que simulan ser confiables, con el objetivo de robar información sensible de tarjetas bancarias bajo la apariencia de una transacción legítima. A diferencia de las tácticas tradicionales de publicidad maliciosa, que suelen involucrar anuncios sospechosos o redireccionamientos evidentes, este tipo de ataque se vale de la reputación de sitios confiables y espacios publicitarios legítimos, lo que lo convierte en una amenaza particularmente difícil de detectar”, destaca Ruiz.
El CEO de SILIKN comenta que, en este tipo de campañas, incluso quienes hacen clic en anuncios auténticos y acceden a tiendas verificadas pueden estar en riesgo, ya que las amenazas se ocultan tras una fachada de legitimidad. “Los atacantes se aprovechan de la reputación de marcas legítimas para engañar a los usuarios, al tiempo que utilizan los esfuerzos de marketing digital de esas mismas empresas –como campañas publicitarias o SEO– para redirigir tráfico a sus sitios fraudulentos, sin necesidad de invertir en su propia promoción”, apunta.
De acuerdo con Ruiz, incluso medidas de seguridad avanzadas como la Política de Seguridad de Contenidos (CSP), diseñadas para prevenir este tipo de amenazas, pueden fallar porque muchos sistemas “permiten explícitamente dominios considerados confiables –como los de Google–, lo que da a los atacantes una vía para actuar sin ser detectados fácilmente”. Como ejemplo, afirma que la unidad de investigación de SILIKN ha detectado el uso indebido de ciertas API legítimas de Google (como translate.googleapis.com, accounts.google.com y www.youtube.com) para propagar scripts maliciosos.
“Esta vulnerabilidad permite a los atacantes evadir mecanismos de seguridad tradicionales y comprometer la seguridad de los usuarios incluso en plataformas legítimas. La cadena del ataque suele concluir con redirecciones hacia sitios de pago falsos, alojados en dominios maliciosos diseñados para robar información confidencial”, declara. Entre las plataformas de comercio electrónico afectadas se encuentran aquellas que utilizan Adobe Commerce y Magento, donde se ha encontrado evidencia de múltiples scripts inyectados.
Ruiz comenta que esta amenaza fue reportada a Google en noviembre de 2024, pero aun así numerosos sitios web comprometidos aún permanecen activos, exponiendo a los usuarios a riesgos continuos de phishing.
“Dado que los ciberdelincuentes siguen aprovechando dominios legítimos (…) para distribuir contenido malicioso, resulta indispensable mantener una vigilancia constante y aplicar monitoreo proactivo que permita detectar cualquier inyección sospechosa de scripts. Reforzar las medidas de seguridad es clave para proteger a los usuarios y salvaguardar la integridad de las plataformas en línea ante amenazas cada vez más sigilosas y sofisticadas”, resalta Víctor Ruiz.
