Detectan ciberataques que usan Google Analytics para robar información de pago de usuarios de tiendas online

Varios informes recientes de empresas del ámbito de la ciberseguridad denuncian el reciente auge de un ciberataque consistente en utilizar Google Analytics (un servicio que recopila información sobre visitas y hábitos de navegación y está presente en millones de sitios web) para robar información de tarjetas de crédito de los clientes de tiendas online.

Kaspersky, Sansec y Perimeter han publicado sendos informes que muestran que una vulnerabilidad de la plataforma de analítica web líder del mercado permite, previa inyección de código malicioso en la web de la tienda online, que los atacantes filtren y recopilen información del proceso de pago, eludiendo las políticas de seguridad de contenido.

Un modelo de seguridad defectuoso

Dichas Políticas de Seguridad de Contenido (CSP) son, según la documentación de Mozilla, "una capa de seguridad adicional que ayuda a detectar y mitigar cierto tipo de ataques, incluyendo Cross-Site Scripting (XSS) y ataques de inyección de datos".

Pero, al estar incluidos los servidores de Google Analytics en la lista blanca de su configuración CSP (de hecho, son el servicio de terceros más comúnmente incluido en estas listas), los atacantes sólo tienen que sustituir una porción de código Javascript de Analytics de las webs para usarlo en su favor.

Como las reglas CSP no pueden discriminar en función de la ID de Analytics, por lo que basta con cambiar ésta por la de sus propias cuentas de este servicio para, según explica Amir Shaked, de PerimeterX, lograr que "el parámetro dp (que consiste en el nombre de usuario y la contraseña) se envíe al dashboard del atacante".

En palabras del CEO de Sansec, Willem de Groot, a BleepingComputer, el problema radica en que

"todo está permitido por defecto. El CSP fue inventado para limitar la ejecución de código no confiable. Pero como casi todo el mundo confía en Google, el modelo es defectuoso".

Éste es un ejemplo de las técnicas de 'skimming' (carterismo digital), que gozan cada vez de mayor popularidad, si bien Google Analytics no es la única herramienta usada para ello (también lo son otras aplicaciones de analítica web, como sus equivalentes en el chino Baidu y el ruso Yandex); en algunos casos los 'skimmers' llegan a utilizar servidores de anuncios que utilizan los banners publicitarios como 'caballos de Troya'.

El grupo de cibercriminales Magecart, fundado en 2016 e incluido en 2018 en la lista de las personas más peligrosas de Internet de Wired, se considera responsable de muchos de los ataques que han recurrido a esta técnica.

Genbeta - Marcos Merino