La evolución sigilosa de los skimmers de comercio electrónico: cómo WebRTC elude el foso digital

La velocidad impactante de los exploits de PolyShell

En la semana posterior al 19 de marzo de 2026, un asombroso 56,7% de todas las tiendas vulnerables de Magento y Adobe Commerce se vieron comprometidas por una única cadena de exploits. Esta estadística exige un desglose analítico y riguroso de los fallos sistémicos que permitieron una infección tan rápida y generalizada. No estamos simplemente ante un brote estándar de malware; somos testigos del surgimiento de un sofisticado vector de ataque que utiliza protocolos web legítimos como armas para dejar obsoletos los perímetros de seguridad tradicionales.

Entre bastidores, el catalizador de esta epidemia digital es una vulnerabilidad conocida como PolyShell. Este fallo afecta a Magento Open Source y Adobe Commerce, proporcionando a atacantes no autenticados una vía para cargar ejecutables arbitrarios a través de la API REST. Una vez que se logra la ejecución del código, los atacantes no se detienen en el control del lado del servidor. Instalan un skimmer de pagos altamente especializado que representa un salto significativo en la tecnología de sigilo.

Rompiendo el espejo: cómo WebRTC elude CSP

Durante años, los profesionales de la seguridad han confiado en la Política de Seguridad de Contenido (CSP) como una defensa robusta contra el cross-site scripting y la exfiltración de datos. Por diseño, una CSP bien configurada le indica al navegador exactamente en qué dominios se debe confiar. Si un script malicioso intenta enviar datos de tarjetas de crédito robados a un servidor no autorizado mediante una solicitud HTTP estándar, el navegador lo bloquea.

Sin embargo, el skimmer PolyShell emplea un método alternativo matizado: los canales de datos WebRTC (Web Real-Time Communication). Diseñados originalmente para comunicaciones entre pares de baja latencia (como videollamadas o intercambio de archivos), WebRTC permite que los datos fluyan directamente entre clientes o hacia un servidor STUN/TURN.

En la práctica, muchas implementaciones de CSP no son lo suficientemente granulares para tener en cuenta WebRTC. Mientras que un equipo de seguridad podría monitorear estrictamente connect-src para las llamadas a la API tradicionales, la naturaleza descentralizada de WebRTC a menudo pasa desapercibida. El skimmer utiliza estos canales de datos para cargar su carga útil maliciosa y exfiltrar información de pago sensible. Desde una perspectiva de riesgo, esto convierte una característica legítima en un caballo de Troya digital, permitiendo que los datos robados eludan el foso del castillo del filtrado de red tradicional.

La anatomía de un ataque PolyShell

La evaluación de la superficie de ataque revela un proceso de varias etapas que es tan eficiente como malicioso. El ataque comienza con la explotación de la API REST, un componente de misión crítica del comercio electrónico moderno que a menudo se deja expuesto en aras de la interoperabilidad. Debido a que la vulnerabilidad permite cargas no autenticadas, la barrera de entrada es precariamente baja.

Una vez que el atacante logra un punto de apoyo, inyecta un script en la página de pago. Curiosamente, este script no se comporta como los skimmers de hace cinco años. Recuerdo haber investigado los primeros incidentes de MageCart donde el malware simplemente enviaba una solicitud GET con datos codificados en base64 en la URL. Era ruidoso y fácil de detectar en los registros del servidor. Por el contrario, el skimmer PolyShell es casi invisible. Al usar WebRTC, el tráfico parece un apretón de manos estándar entre pares, lo que convierte el análisis forense en una pesadilla para los respondedores de incidentes que solo buscan solicitudes HTTP POST sospechosas.

Por qué el parcheo por sí solo no es una solución definitiva

El parcheo a menudo se describe como tapar agujeros en el casco de un barco y, aunque es esencial, rara vez es una solución integral por sí sola. A pesar de la disponibilidad de correcciones, la velocidad del despliegue de PolyShell —con más de 50 direcciones IP participando en escaneos masivos— sugiere que muchas organizaciones están luchando por mantener el ritmo del panorama de amenazas.

A nivel arquitectónico, el problema reside en la confianza inherente que depositamos en los scripts de terceros y en las funciones integradas del navegador. Cuando una tienda se ve comprometida, la brecha de datos actúa como un derrame de petróleo; el desastre ambiental y de reputación se extiende mucho más allá del punto inicial de impacto. Para el usuario final, la experiencia es transparente y aparentemente segura, pero sus datos financieros más sensibles se están canalizando a través de un canal cifrado y descentralizado directamente a las manos de un actor de amenazas.

Hablando proactivamente: medidas defensivas

Para construir una defensa más resiliente contra esta nueva clase de skimmer, las organizaciones deben mirar más allá de las configuraciones predeterminadas. Una postura de seguridad proactiva requiere un enfoque multifacético de la integridad y privacidad de los datos.

1. Auditar el acceso a la API REST: Asegúrese de que su API REST de Magento o Adobe Commerce no esté expuesta a la internet pública a menos que sea absolutamente necesario. Implemente listas blancas de IP estrictas o capas de autenticación robustas.
2. Reforzar las directivas de CSP: Su Política de Seguridad de Contenido debe actualizarse para abordar WebRTC. Específicamente, revise la directiva connect-src y considere usar media-src o restricciones específicas relacionadas con WebRTC si su plataforma las admite.
3. Monitoreo de integridad: Utilice el Monitoreo de Integridad de Archivos (FIM) para detectar cambios no autorizados en el código base de su comercio electrónico. Dado que el skimmer debe inyectarse en el frontend, cualquier cambio en la lógica de pago debería activar una alerta inmediata.
4. Análisis de comportamiento: Busque tráfico WebRTC inusual que se origine en sus páginas de pago. Bajo este marco, cualquier conexión P2P iniciada desde una página que solo debería procesar pagos es una señal de alerta masiva.

En última instancia, el incidente de PolyShell sirve como recordatorio de que el perímetro de red es un concepto obsoleto en la era de los ataques sofisticados del lado del cliente. Debemos tratar cada característica del navegador como una posible ruta de exfiltración.

Próximo paso de acción

Si utiliza Magento Open Source o Adobe Commerce, su prioridad inmediata es verificar su nivel de parcheo contra la vulnerabilidad PolyShell. Una vez que se haya cerrado el agujero, realice una auditoría forense de sus scripts de pago para asegurarse de que no haya skimmers basados en WebRTC activos actualmente. No espere a recibir una notificación de su procesador de pagos; la velocidad de este ataque sugiere que, para cuando se entere, los datos ya habrán sido vendidos en la dark web.

Fuentes:

• Sansec Threat Intelligence Report on WebRTC Skimmers.
• Adobe Security Bulletin for Magento and Adobe Commerce.
• WebRTC Protocol Specifications and Security Guidelines.