WebRTC Skimmer
Investigadores de ciberseguridad han identificado un sofisticado programa de robo de datos de pago que utiliza WebRTC DataChannels para recuperar sigilosamente cargas maliciosas y extraer datos confidenciales. A diferencia de los programas de robo de datos tradicionales que se basan en solicitudes HTTP o balizas de imagen, esta variante opera fuera de los patrones de tráfico web convencionales, lo que complica considerablemente los esfuerzos de detección.
Tabla de contenido
Punto de entrada para la explotación: La vulnerabilidad PolyShell
La campaña de ataques se originó a partir de la explotación de PolyShell, una vulnerabilidad crítica que afecta a las plataformas Magento Open Source y Adobe Commerce. Esta falla permite a atacantes no autenticados cargar archivos ejecutables arbitrarios a través de la API REST, lo que finalmente conduce a la ejecución remota completa del código.
Desde el 19 de marzo de 2026, la vulnerabilidad ha sido explotada activamente a gran escala. Se han observado más de 50 direcciones IP realizando operaciones de escaneo, y los investigadores han detectado vulnerabilidades relacionadas con PolyShell en aproximadamente el 56,7 % de las tiendas en línea vulnerables.
Mecánicas de ataque: WebRTC como canal sigiloso
El programa malicioso funciona como un script auto-ejecutable integrado en sitios web comprometidos. Al ejecutarse, inicia una conexión WebRTC con una dirección IP predefinida (202.181.177.177) a través del puerto UDP 3479. Mediante este canal, obtiene código JavaScript malicioso adicional, que se inyecta directamente en la página web para robar datos de pago.
Las características clave de esta técnica incluyen:
- Uso de canales de datos WebRTC en lugar de la comunicación tradicional basada en HTTP.
- Recuperación y ejecución dinámica de scripts maliciosos
- Inyección directa en páginas web que manejan información de pago.
Evasión de la seguridad: cómo sortear las defensas tradicionales
Este método representa un avance notable en las técnicas de skimming debido a su capacidad para eludir los controles de seguridad ampliamente implementados. La Política de Seguridad de Contenido (CSP), que se suele utilizar para restringir las conexiones salientes no autorizadas, no mitiga eficazmente esta amenaza.
Incluso los entornos con configuraciones CSP estrictas que bloquean todo el tráfico HTTP no autorizado siguen siendo vulnerables. El tráfico WebRTC opera sobre UDP cifrado con DTLS en lugar de HTTP, lo que lo hace invisible para muchas herramientas de monitoreo e inspección de red. Como resultado, los datos de pago exfiltrados pueden eludir por completo la detección.
Disponibilidad de parches y medidas defensivas
Adobe solucionó la vulnerabilidad de PolyShell en la versión 2.4.9-beta1, publicada el 10 de marzo de 2026. La aplicación inmediata del parche es fundamental para prevenir su explotación.
Para reducir la exposición y detectar posibles vulnerabilidades, se recomiendan encarecidamente las siguientes medidas:
Restringir el acceso al directorio pub/media/custom_options/
Realizar escaneos exhaustivos en busca de shells web, puertas traseras y otros artefactos maliciosos.
Implicaciones estratégicas para la seguridad del comercio electrónico
La aparición del skimming basado en WebRTC pone de manifiesto un cambio hacia técnicas de evasión más sofisticadas a nivel de protocolo. Las organizaciones que operan plataformas de comercio electrónico deben ampliar sus estrategias de defensa más allá de la monitorización centrada en HTTP e incorporar una inspección más exhaustiva de los canales de comunicación no tradicionales para contrarrestar eficazmente las amenazas en constante evolución.
