Microsoft alerta de lo fácil que es que te roben tarjetas bancarias online

El robo de tarjetas bancarias al realizar una compra por Internet es algo que puede ocurrir. Los piratas informáticos utilizan múltiples métodos para robar este tipo de datos y es conveniente tomar medidas. Ahora bien, ¿hasta qué punto es esto sencillo? Microsoft alerta de lo fácil que puede ser el robo de datos bancarios en Internet y además los piratas informáticos no dejan ningún tipo de rastro.

Robo de datos bancarios sin dejar rastro

Para robar datos bancarios al realizar un pago online, los piratas informáticos pueden hacer uso de técnicas muy diversas. Un ejemplo claro es el Phishing, pero también colar malware y troyanos. Incluso pueden crear una aplicación falsa que simule ser el banco y así registrar los datos. Pero ahora, un grupo de investigadores de seguridad de Microsoft han alertado de técnicas más avanzadas para ocultar el código al realizar un robo de información bancaria.

Lo que hacen es ocultar fragmentos de código, los inyectan en archivos de imagen y los disfraza de una aplicación legítima. Esto les permite pasar desapercibidos y la víctima realmente no sabe que está siendo robada. Los atacantes se hacen con los datos bancarios sin dejar rastro.

El hecho de que oculten tan bien el código malicioso hace que los propios programas de seguridad tengan más difícil detectar la amenaza. Además, hay mayor probabilidad de que la víctima llegue a poner sus datos bancarios y, sin darse cuenta, los entregue a un pirata informático.

A esta técnica se le conoce como Skimming. Lo que hacen los ciberdelincuentes básicamente es inyectar código de JavaScript malicioso en un sitio web explotando una vulnerabilidad conocida. Esto puede ocurrir en un sitio de WordPress, por ejemplo. Ese código se activa una vez la víctima llega al proceso de pago e ingresa los datos de la tarjeta.

Pero lo novedoso de esta técnica, como indican los investigadores de Microsoft, es que logran inyectar esos scripts en imágenes y los falsifica. Eso va a hacer que estén ocultos y puedan lograr su objetivo.

Disfrazados de favicon

Los archivos de imagen maliciosos se van a cargar en el servidor de destino y van a estar disfrazados de favicon, la pequeña imagen que aparece en el navegador cuando abrimos una página web. Además, el contenido incluye un script PHP con un JavaScript codificado por Base64.

Este script se va a ejecutar para identificar la página de pago y muestra un formulario falso para que la víctima ponga ahí sus datos de la tarjeta bancaria. Además, puede disfrazar también ese script como si fuera un pixel de Facebook o Google Analytics.

¿Qué puedes hacer para estar preparado ante estas amenazas? Es fundamental tener todo actualizado correctamente y así corregir posibles vulnerabilidades que puedan aparecer. También debes contar con un buen antivirus que ayude a detectar amenazas que roben datos personales, datos bancarios o cualquier tipo de información al colar malware.

Pero si hay algo imprescindible para estar protegido es el sentido común. Debes asegurarte siempre de poner los datos personales en sitios seguros, fiables, que no muestren dudas relacionadas con la seguridad y privacidad. Además, siempre puedes proteger la tarjeta al pagar online.