Magecart i atacs de formjacking: com afecten els e-commerce

De Eduard Bardaji el 25.8.2025

formjacking-ecommerce

La compra en línia és un dels mètodes més habituals avui dia. Actualment es duen a terme milions de transaccions, per això és fonamental garantir la integritat i la seguretat de les dades personals i financeres dels usuaris. Tanmateix, de la mateixa manera que evolucionen les mesures de ciberseguretat, també ho fan els ciberatacs. En aquest context, els atacs Magecart, també coneguts com a atacs de formjacking, s’han consolidat com una de les amenaces més persistents i sofisticades dirigides a botigues en línia i plataformes de pagament.

Nueva llamada a la acción

Què és Magecart i per què representa una amenaça crítica per al comerç electrònic?

Magecart no és un grup concret, sinó un terme paraigua que agrupa diversos col·lectius de ciberdelinqüents que comparteixen tàctiques similars: injectar codi maliciós en pàgines web, especialment en formularis de pagament, amb l’objectiu de robar dades confidencials com números de targetes, adreces de facturació, CVV, correus electrònics i altra informació sensible.

Com funciona un atac Magecart?

El modus operandi dels atacs Magecart es basa en el formjacking, una tècnica que consisteix a injectar codi JavaScript maliciós als formularis de pagament d’un lloc web. Aquest codi actua com un sniffer de dades, capturant tota la informació introduïda pels usuaris abans que sigui xifrada o enviada al servidor legítim.

El més preocupant és que aquesta activitat es produeix de manera totalment invisible per a l’usuari final, que completa la compra sense sospitar que les seves dades han estat interceptades i enviades a un servidor controlat per l’atacant.

Existeixen múltiples vectors a través dels quals els atacants poden introduir el codi maliciós:

  • Compromís directe del servidor web: Accedint al backend del lloc, modifiquen directament els fitxers font, especialment els vinculats al procés de checkout.

  • Atacs a proveïdors de tercers: Moltes botigues en línia integren biblioteques i scripts de tercers, com serveis d’analítica, xat en viu o solucions de màrqueting. Si algun d’aquests proveïdors és compromès, l’atacant pot injectar codi en múltiples llocs de manera simultània.

  • Cross-Site Scripting (XSS): En alguns casos, una vulnerabilitat XSS pot ser explotada per introduir scripts sense necessitat de comprometre directament el servidor.

Per què és tan difícil detectar un atac de formjacking?

Els scripts de formjacking estan dissenyats per passar desapercebuts tant per als usuaris com pels equips de seguretat tradicionals. Sovint estan ofuscats, es distribueixen des de dominis legítims o clonats i, en molts casos, utilitzen tècniques avançades com el polyglot scripting per evadir els mecanismes de detecció.

A més, aquests scripts no interfereixen en la funcionalitat de la pàgina: simplement repliquen el procés d’enviament de dades i redirigeixen una còpia de la informació introduïda cap a un altre servidor.

En molts casos, el codi maliciós pot romandre actiu durant mesos sense ser detectat, especialment en llocs web que no disposen d’una estratègia de monitoratge continu dels seus fitxers i scripts. Aquesta persistència incrementa el nombre de víctimes i l’exposició legal i reputacional de l’empresa.

Quines conseqüències pot tenir un atac Magecart per a una empresa?

Els danys derivats d’un atac Magecart són múltiples i greus:

  • Pèrdua de dades sensibles dels clients, que pot derivar en robatoris d’identitat i fraus financers.

  • Dany reputacional significatiu, amb la consegüent pèrdua de confiança de clients i socis comercials.

  • Sancions legals per incompliment del Reglament General de Protecció de Dades (RGPD), especialment si l’empresa no disposa de les mesures tècniques i organitzatives adequades.

  • Costos operatius associats a la resposta a l’incident, auditories forenses, possibles indemnitzacions i millores urgents de seguretat.

Com detectar i prevenir atacs de formjacking?

La detecció i prevenció dels atacs Magecart requereix un enfocament integrat i multidimensional que combini eines tecnològiques, procediments d’auditoria i conscienciació de l’equip tècnic.

Monitoratge de la integritat de fitxers (FIM)

Implementar solucions de File Integrity Monitoring permet detectar qualsevol canvi no autoritzat en fitxers crítics del lloc web. Aquesta tècnica és especialment útil per identificar modificacions sospitoses en fitxers JavaScript o plantilles de formularis.

Revisió i auditoria de scripts de tercers

És fonamental mantenir un inventari actualitzat de tots els recursos de tercers que es carreguen al lloc, així com aplicar polítiques de Content Security Policy (CSP) per limitar l’origen dels scripts que poden executar-se.

Anàlisi del comportament dels scripts

Les solucions de seguretat basades en machine learning i anàlisi de comportament poden detectar patrons anòmals en el trànsit web o en l’execució de scripts, fins i tot quan el codi està ofuscat.

Sandboxing i entorns de proves

Es recomana utilitzar entorns aïllats (sandbox) per realitzar actualitzacions i proves abans de la seva publicació en producció, amb l’objectiu de verificar que no s’han introduït vulnerabilitats o scripts maliciosos.

Supervisió del trànsit de xarxa sortint

L’anàlisi de les peticions HTTP sortints des del navegador del client pot ajudar a detectar comunicacions inusuals amb dominis desconeguts, la qual cosa podria indicar la presència d’un script de formjacking que exfiltra dades.

Com prevenir atacs Magecart i formjacking en un e-commerce?

A ESED, com a especialistes en ciberseguretat, oferim diferents serveis i solucions per al sector retail per prevenir aquest tipus d’amenaces:

Endpoint i XDR/MDR: asseguren detecció i contenció immediata si un servidor o dispositiu ha estat compromès.

ESED proporciona una solució de ciberseguretat gestionada amb una tarifa mensual fixa, que ofereix protecció proactiva 24×7. El nostre model inclou tecnologies avançades com XDR (Extended Detection and Response) i MDR (Managed Detection and Response), i, si cal, gestió de dispositius mòbils mitjançant MDM, tot integrat en un enfocament holístic de defensa.

Gràcies a aquest entorn gestionat, un atac Magecart, caracteritzat per la injecció de codi maliciós en formularis de pagament, pot ser detectat en fases primerenques, fins i tot si el codi està ofuscat o prové d’un script de tercers. Això és possible perquè ESED supervisa constantment els endpoints i analitza patrons sospitosos en el comportament del sistema.

Nueva llamada a la acción

Auditoria inicial i pentesting mitjançant ESED Attack

Abans de desplegar qualsevol solució, realitzem una auditoria completa de seguretat mitjançant el nostre servei de hacking ètic, denominat ESED Attack. Això inclou proves de penetració i simulacions controlades que permeten identificar bretxes reals i vectors d’atac específics, incloent vulnerabilitats que podrien permetre la injecció de scripts en formularis web.

Aquest enfocament avalua el nivell d’exposició davant d’atacs de tipus formjacking, permetent anticipar-se i enfortir les defenses abans d’un compromís real.

Cerca activa d’amenaces (Threat Hunting) i monitoratge continu

Un cop desplegats els sistemes, realitzem una activitat constant de Threat Hunting, és a dir, cerca proactiva d’amenaces que han evadit els controls tradicionals. Aquesta estratègia permet detectar scripts maliciosos o comportaments inusuals, com connexions sortints a dominis desconeguts o modificacions inesperades en fitxers JavaScript del lloc web.

El monitoratge continu també inclou actualitzacions automàtiques de seguretat, fonamentals per evitar que scripts compromesos s’aprofitin de vulnerabilitats no parchejades.

Backups, contrasenyes segures i gestió de dispositius

També oferim serveis com còpies de seguretat segures (al núvol seguint la regla 3‑2‑1), gestió segura de contrasenyes i control sobre dispositius mòbils corporatius mitjançant MDM.

En cas d’un atac Magecart, disposar d’un backup íntegre i actualitzat és crític per restaurar la integritat del lloc sense perdre dades, així com per identificar quan i com es va produir la infecció.

Prevenció de fuga de dades amb WWatcher

Disposem d’una eina pròpia anomenada WWatcher, dissenyada per monitoritzar la interacció dels usuaris amb dades sensibles dins de l’empresa, detectant descàrregues o moviments que podrien indicar una fuga massiva d’informació.

Encara que no actua directament en el navegador del client durant una compra, aquesta solució permet detectar comportaments interns sospitosos, assegurant que, fins i tot si l’atacant aconsegueix exfiltrar dades del frontend, no hi hagi canals interns complementaris que en facilitin l’ús o divulgació.

Què fer si el teu lloc ha estat víctima de Magecart?

  1. Aïllar el sistema compromès: Evita que el lloc segueixi recollint dades desconnectant temporalment la plataforma o desactivant els formularis de pagament.

  2. Notificar a les autoritats competents: D’acord amb el RGPD, és obligatori notificar la violació de seguretat a l’AEPD dins de les primeres 72 hores.

  3. Realitzar un anàlisi forense: Identificar el vector d’atac, avaluar l’abast de la bretxa i recollir evidències.

  4. Informar els usuaris afectats: Si les dades han estat compromeses, cal informar els clients perquè puguin prendre mesures preventives, com bloquejar les seves targetes.

  5. Revisar i implementar noves mesures de seguretat: Incloent patches, controls addicionals i validació de la integritat del codi.

Els atacs Magecart i el formjacking són un clar exemple de com els ciberdelinqüents han evolucionat cap a tècniques cada cop més sofisticades que no necessiten explotar directament el servidor, sinó aprofitar vulnerabilitats del costat del client o de tercers.

Per a les empreses que operen en l’àmbit digital, especialment en el sector del e-commerce, la implementació de mesures avançades de seguretat no és una opció, sinó una necessitat crítica. La protecció ha d’extendre’s més enllà del perímetre del servidor i cobrir tots els vectors, inclosos els scripts de tercers, l’execució en navegador i el monitoratge continu.

En un entorn on la confiança de l’usuari és tan valuosa com les dades que proporciona, invertir en seguretat és invertir en sostenibilitat digital.
Article anterior
← Ciberatacs al sector Biotech: Hackeig de firmware i hardware
Següent article
IoT a la indústria alimentària: un risc per a la ciberseguretat? →
El ransomware a les Biotechs: com protegir-se
Ciberseguretat

El ransomware a les Biotechs: com protegir-se

24.2.2025 3 min lectura
Ransomware en l'agroindústria: com evitar una fuga d'informació
ransomware-industria-agroalimentaria
Ciberseguretat

Ransomware en l'agroindústria: com evitar una fuga d'informació

11.6.2025 4 min lectura
Ciberatacs al sector Biotech: Hackeig de firmware i hardware
ciberataques-firmware-hardware-biotech
Ciberseguretat

Ciberatacs al sector Biotech: Hackeig de firmware i hardware

19.8.2025 5 min lectura

Subscriu-te al nostre butlletí i coneix totes les novetats en tecnologia i ciberseguretat.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera