Auge de los ataques del lado cliente

Nuevos requisitos para proteger a tus clientes

Cada vez más organizaciones desarrollan sus aplicaciones públicas utilizando componentes o scripts de terceros debido a la agilidad que ofrecen en el proceso de desarrollo. Al mismo tiempo, hemos observado un número creciente de ataques contra los usuarios de esas aplicaciones.

En el fondo, esto se debe a que, con el tiempo, parte del código de la aplicación web se carga ahora en el navegador del usuario en lugar de en el servidor. Debido a este cambio, los usuarios están ahora expuestos a estos componentes de terceros, y las organizaciones que los emplean no tienen control directo sobre sus medidas de seguridad. Esta relación entre los scripts de terceros, los propietarios de las aplicaciones y los usuarios se está aprovechando para lanzar ataques a la cadena de suministro en el dispositivo del usuario.

En este artículo, analizaremos estas nuevas vulnerabilidades y cómo las organizaciones pueden abordarlas para proteger a sus usuarios.

Nuevos requisitos de conformidad con PCI

Varios ataques de gran envergadura dirigidos al cliente de las aplicaciones han causado daños considerables a las organizaciones, desde 2018 o en torno a esa fecha. Uno de los casos más destacados fue un ataque a los clientes de British Airways, en el que el atacante no solo filtró los datos de las tarjetas de pago, sino también los nombres y las direcciones de 500 000 clientes. El atacante robó la información comprometiéndola mediante el uso de JavaScript.

Las organizaciones que procesan los pagos de los clientes están sujetas a los requisitos de conformidad con la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS), que están diseñados para proteger los datos de las cuentas de las tarjetas de pago.

A menudo, como en el caso de British Airways, estos ataques se llevan a cabo sin el conocimiento del propietario del sitio web. Para abordar este problema, la última versión de PCI DSS reconoce que la amenaza emergente de los ataques a clientes requiere una protección activa para proteger a los titulares de tarjetas de pago del robo de la información de sus tarjetas. La versión 4.0 PCI DSS incluye muchos requisitos nuevos que todos los comercios que aceptan pagos con tarjeta deben cumplir en comparación con la versión anterior de PCI, pero hoy nos centraremos en dos de ellos relacionados con la seguridad de los clientes.

Estos dos nuevos requisitos, 6.4.3 y 11.6.1, se pueden resumir de la siguiente manera:

1. El requisito 6.4.3 exige a los comercios que realicen un seguimiento y un inventario adecuado de los scripts (por ejemplo, JavaScripts) utilizados en las páginas de pago, así como que justifiquen por qué son necesarios y si su código se comporta según lo previsto.
   
   Para satisfacer el requisito 6.4.3, se puede implementar un encabezado de política de seguridad de contenido (CSP). Las CSP son una forma de modelo de seguridad positiva que se puede definir para permitir que los JavaScript seleccionados se ejecuten en las páginas de pago y denegar por defecto cualquier JavaScript no permitido explícitamente. Un monitor de página en constante funcionamiento puede ayudar a generar un encabezado CSP, y comprobar de forma permanente el contenido de estos scripts en busca de cualquier amenaza maliciosa.
   

2. El requisito 11.6.1 alude a la notificación a los propietarios de sitios web de los cambios en los scripts (por ejemplo, JavaScripts) utilizados en las páginas de pago como se mencionó anteriormente, y los encabezados HTTP utilizados para proteger estos scripts, como el encabezado CSP. Dependiendo de cómo se implemente este encabezado CSP, los proveedores de proxy inverso o CDN pueden detectar los cambios en el mismo y notificar al propietario del sitio web en consecuencia. Una combinación de estas soluciones ayuda a cumplir el requisito 11.6.1.

La conformidad con estos dos requisitos permite a los propietarios de sitios web proteger los datos de las cuentas de las tarjetas de pago de sus usuarios del robo, preservando la confianza de los clientes y reduciendo el riesgo.

Riesgos más allá de las dependencias de JavaScript de terceros

Las dependencias de JavaScript de terceros, o ataques a la cadena de suministro, no son el único vector de ataque a clientes. Algunas de las dependencias de terceros también pueden invocar a sus dependencias, que a veces se denominan dependencias de una cuarta parte, que también pueden verse en riesgo.

En los últimos años, el sector ha tomado medidas para protegerse lo máximo posible contra los ataques a la cadena de suministro, y existe una mayor concienciación general sobre el riesgo de la cadena de suministro que hace 5 años. Sin embargo, también hay otros riesgos del lado cliente a los que se les presta menos atención, lo que abre una superficie de ataque más amplia.

Un riesgo radica en el entorno del usuario, el navegador que se utiliza y el sistema operativo en el que se ejecuta el navegador. Cuando un usuario visita un sitio web, las extensiones del navegador o cualquier otro software pueden inyectar directamente JavaScripts en el sitio web, alterando la página web. Aunque no todos los JavaScript inyectados son maliciosos, su efecto va desde la inyección de publicidad hasta el posible robo de información confidencial.

Otro ejemplo es el cross-site scripting (XSS), donde un ciberdelincuente inyecta código en un sitio web legítimo que se ejecutará cuando la víctima cargue el sitio web. Desde el punto de vista de la protección del lado cliente, estas inyecciones exitosas pueden parecer JavaScripts servidos directamente desde el propio sitio web, donde la confianza se asume por defecto.

Esta lista no es exhaustiva. Para lograr un nivel integral de protección, una solución de seguridad del lado cliente debe ser capaz de supervisar todos los scripts por igual, independientemente de su origen, ayudando al propietario del sitio web a tomar decisiones informadas.

Protección de los entornos del lado cliente

Si tu comercio acepta pagos con tarjeta, tienes hasta el 31 de marzo de 2025 para implementar tu enfoque y proteger tu entorno del lado cliente de conformidad con la versión 4.0 de la normativa PCI DSS. La solución de seguridad del lado cliente de Cloudflare, Page Shield, puede ayudar a facilitar el proceso de conformidad con estos nuevos requisitos.

Más allá de la protección de las páginas de pago, Page Shield de Cloudflare también supervisa de manera continua todo tu sitio web, comparando cada script con un modelo de aprendizaje automático creado y entrenado internamente que se especializa en clasificar los ataques de Magecart para proteger a tus usuarios independientemente de cómo y dónde interactúen con tu sitio web.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Más información sobre este tema

Más información sobre cómo abordar estratégicamente todos los requisitos de PCI en el documento técnico "Un enfoque estratégico para garantizar la conformidad de la versión 4.0 de la normativa PCI DSS".

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Los principales vectores de ataque contra los entornos del lado cliente

• 2 nuevos requisitos de conformidad con PCI

• Cómo proteger los entornos del lado cliente y a tus clientes

Recursos relacionados

• Un enfoque estratégico para garantizar la conformidad normativa de PCI DSS 4.0

• Optimiza la conformidad normativa de los datos con controles componibles

• Page Shield | Protege el comercio electrónico y las empresas contra ataques de Magecart