Tu Checkout Está Siendo Observado. Asegúrate de Que No Sea por un Atacante.

Magecart roba datos de tarjeta en tiempo real sin que tu equipo lo detecte. PCI-DSS 4.0 ya exige monitorización de scripts en páginas de pago. Vulnerabbit te da visibilidad completa: DAST sobre el flujo de compra, ASM sobre todos tus dominios y CSPM sobre la infraestructura que sostiene tu catálogo.

Detección de Skimming Digital en Checkout

Nuestro DAST rastrea tu flujo de compra completo y detecta scripts inyectados que capturan datos de tarjeta. Identifica JavaScript no autorizado en formularios de pago, iframes sospechosos y exfiltración de datos hacia dominios externos.

Inventario de Dominios de Campaña (ASM)

Black Friday, rebajas de verano, landings de influencers: cada campaña deja subdominios huérfanos. ASM los descubre automáticamente y detecta certificados expirados, dangling CNAMEs y servicios expuestos que los atacantes aprovechan para phishing.

Cumplimiento PCI-DSS 4.0 (Req. 6.4.3)

Desde marzo de 2025, PCI-DSS 4.0 exige inventario e integridad de todos los scripts client-side en páginas de pago. Vulnerabbit genera ese inventario automáticamente y alerta si un script cambia o aparece uno nuevo no autorizado.

AMENAZA REAL

Magecart No Es un Titular. Es Tu Mayor Riesgo Actual.

Magecart es una familia de ataques de web skimming que llevan activos desde 2015 y han comprometido millones de transacciones en todo el mundo. El mecanismo es simple y devastador: un atacante inyecta unas pocas líneas de JavaScript en tu página de checkout — a través de una dependencia comprometida, un tag manager mal configurado o un proveedor de terceros vulnerado — y ese script captura silenciosamente los datos de tarjeta de cada comprador, enviándolos a un servidor controlado por el atacante.

Lo que hace a Magecart tan peligroso no es su sofisticación técnica, sino su invisibilidad. El comprador completa su compra sin errores. El comerciante recibe el pedido con normalidad. La pasarela de pago procesa la transacción correctamente. No hay nada roto. El skimmer simplemente copia los datos en paralelo. Pueden pasar semanas o meses antes de que las primeras reclamaciones de fraude revelen el problema.

Los casos más conocidos ilustran la escala del daño. British Airways recibió una multa de 20 millones de libras del ICO tras un ataque Magecart que comprometió los datos de 380.000 transacciones. Ticketmaster sufrió una brecha similar a través de un chatbot de terceros inyectado en su página de pago. En ambos casos, el código malicioso residía en el navegador del comprador, fuera del alcance de firewalls y WAFs tradicionales que solo inspeccionan tráfico servidor-a-servidor.

ANÁLISIS DE CHECKOUT — DETECCIÓN DE SKIMMING2 AMENAZAS CRÍTICAS
1. Scripts en página de pago (/checkout/payment)
stripe.js (js.stripe.com) — pasarela autorizada
gtm.js (googletagmanager.com) — tag manager
Script desconocido cargado desde cdn-analytics.click
Registrado hace 12 días | Intercepta eventos keydown en #card-number
Envía POST a collect.cdn-analytics.click/g cada 3 segundos
VEREDICTO: probable skimmer de tarjetas (Magecart)
2. Integridad de formularios
Iframe oculto superpuesto sobre campo CVV
Origen: cdn-analytics.click/overlay.html
Captura input del usuario antes de llegar al iframe de Stripe
Recomendación
Eliminar script de cdn-analytics.click inmediatamente. Revisar cómo fue inyectado (¿tag manager? ¿dependencia npm? ¿acceso directo?).
NUEVA REGULACIÓN

PCI-DSS 4.0: El Cambio que Tu E-commerce No Puede Ignorar

El 31 de marzo de 2025 entraron en vigor los requisitos más importantes de PCI-DSS 4.0 para comercios online. Por primera vez, el estándar exige control explícito sobre el JavaScript que se ejecuta en el navegador del comprador, no solo en tus servidores.

Dos requisitos cambian fundamentalmente cómo los e-commerce deben gestionar la seguridad del lado del cliente:

Requisito 6.4.3 exige que mantengas un inventario documentado y actualizado de todos los scripts que se ejecutan en tus páginas de pago. Cada script debe estar justificado (por qué está ahí), autorizado (quién lo aprobó) y verificado en su integridad (que no haya sido modificado). Esto incluye tu propio JavaScript, el SDK de tu pasarela, los pixels de seguimiento, el tag manager, los chatbots y cualquier otra dependencia que cargue en el contexto del checkout.

Requisito 11.6.1 exige un mecanismo de detección de cambios para las cabeceras HTTP y el contenido de las páginas de pago. Si alguien modifica un script, añade uno nuevo o altera las cabeceras de seguridad de tu página de checkout, debes detectarlo y responder.

La realidad es que la mayoría de los e-commerce no tienen visibilidad sobre qué JavaScript se ejecuta en su checkout. Marketing añade pixels de conversión. El equipo de producto integra un chatbot. Una agencia externa inyecta un script de personalización a través del tag manager. Cada uno de estos es un vector potencial de ataque y, desde marzo de 2025, cada uno debe estar inventariado y monitorizado.

Vulnerabbit automatiza este proceso. Nuestro módulo DAST navega tus páginas de pago, cataloga cada script que se ejecuta (origen, hash, comportamiento), y genera un inventario que puedes exportar para tu auditoría PCI-DSS. Si un script cambia, desaparece o aparece uno nuevo, recibes una alerta. No es un escaneo puntual: es monitorización continua de la integridad de tu checkout.

Antes (sin monitorización)
  • → Marketing añade pixel vía GTM sin avisar a IT
  • → Agencia inyecta script de A/B testing en checkout
  • → Nadie sabe qué scripts corren en la página de pago
  • → Incumplimiento PCI-DSS 4.0 desde el día uno
Después (con Vulnerabbit)
  • → Inventario automático de scripts en páginas de pago
  • → Hash de integridad verificado en cada escaneo
  • → Alerta inmediata si aparece un script no autorizado
  • → Reporte exportable para auditoría PCI-DSS
SUPERFICIE OCULTA

Los Subdominios que Marketing Olvidó, los Atacantes No

Cada campaña comercial genera activos digitales: un microsite para Black Friday, una landing de influencer, un subdominio de staging que la agencia necesitó para la demo del rediseño. Cuando la campaña termina, el presupuesto se cierra. Pero el subdominio sigue ahí, apuntando a un servidor que ya nadie mantiene.

La superficie de ataque de un e-commerce no es solo su tienda principal. Es la acumulación de todas las decisiones técnicas rápidas que se tomaron para lanzar campañas a tiempo. Un blackfriday.tienda.com que corría un WordPress con plugins de formulario. Un staging.tienda.com que tenía un volcado de la base de datos de producción para pruebas. Un old.tienda.com que apunta a un hosting que dejaste de pagar y ahora otro cliente ocupa esa IP.

Los atacantes lo saben y lo explotan de tres formas. Primero, phishing con legitimidad: un subdominio real de tu marca (ofertas.tutienda.com) es mucho más convincente que un dominio aleatorio para una campaña de phishing contra tus clientes. Segundo, SEO spam: atacantes inyectan contenido de farmacia o gambling en subdominios olvidados, penalizando tu dominio principal en buscadores. Tercero, pivoting: un subdominio con credenciales por defecto o software sin parchear puede ser la puerta de entrada lateral hacia tu infraestructura principal.

El caso más peligroso es el dangling CNAME: un registro DNS que apunta a un servicio cloud que ya no existe (un bucket de S3 eliminado, una instancia de Heroku cerrada, un Azure Blob desaprovisionado). Un atacante puede reclamar ese recurso y servir contenido arbitrario bajo tu dominio, con tu certificado SSL válido.

ASM — INVENTARIO DE SUBDOMINIOSmitienda.com — 23 subdominios encontrados
4 PROBLEMAS
8Sanos
4Requieren acción
11Inactivos (monitorizar)
blackfriday2024.mitienda.comCRÍTICO
CNAME apunta a mitienda-bf.herokuapp.com (app eliminada)
DANGLING CNAME — riesgo de takeover
staging.mitienda.comALTO
WordPress 5.8 detectado (2 CVEs críticas sin parchear)
Formulario de login activo con credenciales por defecto
promo-verano.mitienda.comMEDIO
Certificado SSL expirado hace 47 días
Aún indexado en Google con 1.2K páginas
api-legacy.mitienda.comCRÍTICO
API REST sin autenticación respondiendo en /v1/orders
Devuelve datos de pedidos reales (PII expuesta)
INFRAESTRUCTURA

Tu Cloud Tiene los Datos de Tus Clientes. ¿Quién Vigila la Configuración?

La tienda es la fachada. Detrás hay bases de datos con millones de registros de clientes, buckets con imágenes de producto y backups, CDNs que sirven activos estáticos, y pipelines de procesamiento de pedidos. Una mala configuración en cualquiera de estos componentes puede exponer datos sin que nadie toque tu aplicación web.

Los errores de configuración cloud son la causa silenciosa de muchas brechas en e-commerce. No son ataques sofisticados: son buckets de S3 con acceso público que contienen exports de la base de datos de clientes. Son snapshots de bases de datos sin cifrar compartidos entre cuentas para que el equipo de analytics pueda trabajar. Son CDNs que exponen rutas de administración porque nadie configuró reglas de origen correctamente. Son logs de transacciones almacenados sin política de retención que acumulan años de datos de tarjeta parciales.

El problema es que estos errores no son visibles desde fuera. Un escaneo DAST ve la tienda; un análisis ASM ve los dominios. Pero la capa cloud requiere inspección interna. CSPM (Cloud Security Posture Management) conecta con tu cuenta de AWS, GCP o Azure y audita la configuración contra buenas prácticas y marcos regulatorios.

Para un e-commerce, CSPM responde preguntas concretas: ¿están cifradas en reposo las bases de datos que contienen PII de clientes? ¿Los backups tienen permisos de acceso restrictivos o cualquier desarrollador con credenciales de staging puede descargarlos? ¿El CDN está configurado para no servir archivos de configuración o directorios internos? ¿Los logs de la pasarela de pago se retienen solo el tiempo necesario y se almacenan cifrados?

Hallazgos frecuentes en e-commerce
01
Backups de base de datos en buckets públicos
Exports automáticos de MySQL/PostgreSQL accesibles sin autenticación. Contienen emails, direcciones, historiales de compra y hashes de contraseñas.
02
CDN sirviendo rutas de administración
CloudFront o Cloudflare configurado para cachear /admin, /wp-admin o /api/internal. Expone paneles de gestión a internet sin protección adicional.
03
Logs de transacciones sin política de retención
CloudWatch o Stackdriver acumulando años de logs con datos parciales de tarjeta (primeros/últimos dígitos, fechas de expiración) sin cifrado ni fecha de borrado.
04
Secrets en variables de entorno sin rotación
API keys de Stripe, tokens de acceso a la base de datos y credenciales de servicios terceros que no se han rotado desde el despliegue inicial.

Seguridad Completa para E-commerce: Tres Capas, Un Panel

La seguridad de tu tienda online no es un problema de una sola capa. Necesitas visibilidad sobre tu aplicación web, tu perímetro digital y tu infraestructura cloud. Vulnerabbit integra las tres en un único panel con alertas priorizadas por impacto de negocio.
</>

DAST

Escanea tu checkout como un atacante lo haría. Detecta skimmers, XSS en formularios de búsqueda, IDOR en pedidos y APIs de catálogo sin autenticación. Genera el inventario de scripts que PCI-DSS 4.0 exige.
@

ASM

Descubre todos los dominios y subdominios de tu marca. Monitoriza certificados SSL, detecta dangling CNAMEs y alerta sobre servicios olvidados que los atacantes pueden secuestrar.

CSPM

Audita tu AWS, GCP o Azure. Verifica cifrado de bases de datos, permisos de buckets, configuración de CDN y políticas de retención de logs. Detecta los errores silenciosos que un DAST no ve.

¿Cuántos scripts corren en tu checkout ahora mismo?

Si no puedes responder a esa pregunta, no cumples PCI-DSS 4.0. Escanea tu tienda gratis y obtén el inventario en minutos.
Sin tarjeta de crédito. Resultados en menos de 5 minutos.

Preguntas Frecuentes

Todo lo que necesitas saber sobre Vulnerabbit Burrow

¿Cómo ayuda Vulnerabbit a cumplir el requisito 6.4.3 de PCI-DSS 4.0?+
El requisito 6.4.3, efectivo desde el 31 de marzo de 2025, exige que mantengas un inventario de todos los scripts que se ejecutan en páginas de pago y un mecanismo para verificar su integridad. Nuestro módulo DAST rastrea tu checkout, cataloga cada script (propios, de terceros, tag managers) y genera alertas si detecta un script nuevo, modificado o que carga recursos desde dominios no autorizados. Esto cubre tanto el 6.4.3 (inventario y justificación) como el 11.6.1 (detección de cambios en páginas de pago).
¿Funciona con tiendas Shopify? ¿Qué limitaciones tiene?+
Sí, con matices. No podemos escanear el core de Shopify (su infraestructura es cerrada y gestionada por ellos), pero sí todo lo que tú controlas: apps de terceros instaladas, scripts personalizados en el theme, APIs custom, integraciones de pasarela, y cualquier subdominio o microservicio que conectes. Para la mayoría de las brechas en Shopify, el vector de entrada son precisamente esos componentes que el comerciante añade, no la plataforma base.
¿Cómo detecta Vulnerabbit ataques tipo Magecart o skimming digital?+
Nuestro DAST navega tu flujo de checkout como lo haría un comprador real: añade productos, llega al formulario de pago y analiza todo el JavaScript que se ejecuta en esa página. Detecta scripts que interceptan eventos de teclado en campos de tarjeta, iframes inyectados que suplantan el formulario de pago legítimo, y conexiones de red hacia dominios externos no asociados a tu pasarela. Si un atacante inyecta un skimmer, lo vemos.
Tengo varias tiendas y marcas. ¿Puedo monitorizar todo desde un solo panel?+
Sí. Puedes añadir todos tus dominios (tienda principal, marcas secundarias, marketplaces de vendedores, micrositios de campaña) en un único dashboard. Cada dominio tiene su propio inventario de activos, calendario de escaneos y alertas independientes. Ideal para franquicias con múltiples dominios nacionales o grupos con varias marcas de e-commerce.
¿Puedo escanear durante Black Friday sin afectar el rendimiento?+
El ASM y CSPM no generan tráfico hacia tu tienda, así que son seguros siempre. El DAST sí accede a la web, pero permite configurar la velocidad de las peticiones (throttling), elegir ventanas horarias y limitar el scope a URLs específicas. Nuestra recomendación para Black Friday: ejecuta un escaneo DAST completo la semana anterior, y durante el pico de tráfico mantén activo solo el monitoreo ASM y CSPM. Si necesitas DAST en producción durante campaña, usa el modo throttled o apunta a un entorno staging con la misma base de código.
¿Los avisos de 'sitio no seguro' en el navegador realmente afectan a las ventas?+
Sí, de forma medible. Un certificado SSL expirado o contenido mixto (HTTP dentro de HTTPS) dispara el aviso de 'No es seguro' en Chrome y Safari. Estudios del sector muestran que entre el 70% y el 85% de los compradores abandonan inmediatamente al ver esa advertencia. Vulnerabbit monitoriza tus certificados SSL en todos los dominios y te alerta 30, 14 y 7 días antes de la expiración. También detecta contenido mixto que puede disparar avisos parciales sin que el certificado haya expirado.

¿Listo para tomar el control?

Únete a las empresas que ya aseguran su futuro con Vulnerabbit.

Protege tu empresa gratis — 14 días
Escanear mi tienda gratis