Los ciberdelincuentes usan Google Analytics para robar datos de pago

Los investigadores especializados en ciberseguridad siempre están al tanto de los nuevos ataques y siguen de cerca los pasos de los hackers. Por ello, un equipo de Kaspersky ha descubierto una nueva técnica usada por los ciberdelincuentes para robar datos financieros de los usuarios. 

Se trata de un ataque con la técnica web skimming y, en este caso, el cebo ha sido Google Analytics. Así, al introducir el código de seguimiento en el código fuente de las páginas web, los ciberdelincuentes obtienen los datos de las tarjetas de crédito de los clientes. "Más de 20 tiendas online de todo el mundo se han visto afectadas por esta práctica", subraya Kaspersky a través de un comunicado. 

Servicios de análisis web

El método web skimming lo usan los ciberdelincuentes, por lo general, para robar los datos de las tarjetas de crédito de los consumidores en las páginas web de las tiendas online, mediante el cual los atacantes introducen fragmentos de código en el código fuente de la página web. Este código fraudulento recoge los datos introducidos por los usuarios que visitan la página web (es decir, los números de acceso a las cuentas de pago o a las tarjetas de crédito) y envía los detalles recogidos a la dirección especificada por los ciberdelincuentes en el código falso.

Con frecuencia, con el objetivo de ocultar que la página web ha sido vulnerada, los atacantes registran dominios con nombres que se asemejan a los servicios de análisis web más conocidos como, por ejemplo, googlc-analytics[.]com. 

Una técnica desconocida

Pero, ahora, los investigadores de Kaspersky han descubierto una técnica que no habían detectado antes. En lugar de redirigir los datos a otras fuentes, los ciberdelincuentes  los reconducen a cuentas oficiales de Google Analytics. Una vez que los atacantes registran sus cuentas en el servicio de Google, solo tienen que configurar los parámetros de seguimiento de las cuentas para recibir una identificación de rastreo. A continuación, introducen el código fraudulento junto con la identificación de seguimiento en el código fuente de la página web, lo que les permite recoger datos sobre los usuarios y enviarlos directamente a sus cuentas. 

"Se trata de una práctica que no habíamos observado con anterioridad, y que resulta sumamente eficaz, ya que Google Analytics es uno de los servicios de análisis web más importantes que existen. La gran mayoría de los desarrolladores y de los usuarios confían en él, por lo que los administradores de la página web le suelen dar permiso para recopilar datos de los usuarios. De este modo, resulta fácil pasar por alto las operaciones maliciosas", subraya Victoria Vlasova, analista principal de malware de Kaspersky.