Cómo hackear miles de tarjetas de crédito con solo 20 líneas de código

La pasada semana la aerolínea británica British Airways admitió el robo de datos de unas 380.000 transacciones en su página web realizadas entre el 21 de agosto y el 5 de septiembre de este año. Nombres, direcciones de correo electrónico, cuentas bancarias y otros datos confidenciales se vieron comprometidos. Ahora, los investigadores de la firma de detección de amenazas RiskIQ han arrojado nueva luz sobre cómo los atacantes llevaron a cabo el atraco.

Según esta compañía de seguridad, para conseguir los datos, los cibercriminales colocaron un script en la página web de la aerolínea. Este método, conocido como ataque a la cadena de suministro, es un problema cada vez más frecuente para aquellas páginas que incorporan código de proveedores externos. Para que os hagáis una idea, estos terceros pueden proporcionar código para colocar publicidad, permitir inicio de sesión o permitir la autorización del pago. Este no es el único caso que hemos conocido similar en los últimos meses. La empresa de venta de entradas Ticketmaster sufrió un ataque de este tipo que afectó a unos 40.000 usuarios en Reino Unido.

robo de datos

Desde RiskIQ han comentado también que el script estaba vinculado a la página de información de reclamo de equipaje de British Airways. La última vez que se modificó antes de la infracción fue en diciembre de 2012. Los investigadores rápidamente se percataron de que los atacantes revisaron el componente para incluir el código (solo 22 líneas), que a menudo se usa en manipulaciones clandestinas. El código malicioso tomaba los datos que los clientes introducían en un formulario de pago y los enviaba a un servidor controlado por un atacante cuando un usuario hacía clic o tocaba un botón de envío. Los atacantes, incluso, pagaron para configurar un certificado de seguridad para su servidor, una credencial que confirma que un servidor tiene encriptación web habilitada para proteger los datos en tránsito.

A todo esto hay que destacar que el ataque también afectó a usuarios móviles. La compañía de seguridad también encontró una parte de la aplicación Android de British Airways construida a partir del mismo código que la parte comprometida del sitio web de la aerolínea. En este caso, el componente JavaScript malicioso que los atacantes inyectaron en el sitio principal también afectó a la aplicación móvil. Los atacantes diseñaron el script con esto en mente, acomodando las entradas a la pantalla táctil.

No son buenos tiempos para British Airways. Los pasados meses de mayo y julio, la compañía tuvo que cancelar y retrasar algunos vuelos por fallos en el suministro de energía, lo que dio como resultado quejas por parte de sus clientes. Ahora, 38.000 transacciones comprometidas. La Agencia Nacional contra el Delito del Reino Unido ya está investigando este suceso. Si descubre que British Airways ha cometido algún tipo de negligencia a la hora de proteger los datos de sus usuarios podría ser multada con hasta un 4% de sus beneficios globales.

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día a +4.000 suscriptores

I will never give away, trade or sell your email address. You can unsubscribe at any time.