{"id":372,"date":"2026-03-26T09:51:51","date_gmt":"2026-03-26T09:51:51","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/26\/webrtc-skimmer-omite-el-csp-para-robar-datos-de-pago-de-sitios-de-comercio-electronico-cyberdefensa-mx\/"},"modified":"2026-03-26T09:51:51","modified_gmt":"2026-03-26T09:51:51","slug":"webrtc-skimmer-omite-el-csp-para-robar-datos-de-pago-de-sitios-de-comercio-electronico-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/26\/webrtc-skimmer-omite-el-csp-para-robar-datos-de-pago-de-sitios-de-comercio-electronico-cyberdefensa-mx\/","title":{"rendered":"WebRTC Skimmer omite el CSP para robar datos de pago de sitios de comercio electr\u00f3nico \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han descubierto un nuevo skimmer de pagos que utiliza Canales de datos WebRTC<\/a> como medio para recibir cargas \u00fatiles y exfiltrar datos, evitando efectivamente los controles de seguridad.<\/p>\n

\u00abEn lugar de las habituales solicitudes HTTP o balizas de im\u00e1genes, este malware utiliza canales de datos WebRTC para cargar su carga \u00fatil y filtrar datos de pago robados\u00bb, Sansec dicho<\/a> en un informe publicado esta semana.<\/p>\n

Se dice que el ataque, que tuvo como objetivo el sitio web de comercio electr\u00f3nico de un fabricante de autom\u00f3viles, fue facilitado por PolyShell, una nueva vulnerabilidad que afecta a Magento Open Source y Adobe Commerce y que permite a atacantes no autenticados cargar ejecutables arbitrarios a trav\u00e9s de la API REST y lograr la ejecuci\u00f3n de c\u00f3digo.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En particular, desde entonces la vulnerabilidad ha sido objeto de explotaci\u00f3n masiva desde el 19 de marzo de 2026, con m\u00e1s de 50 direcciones IP participando en la actividad de escaneo. La empresa de seguridad holandesa dijo que encontr\u00f3 ataques PolyShell en el 56,7% de todas las tiendas vulnerables.<\/p>\n

El skimmer est\u00e1 dise\u00f1ado como un script autoejecutable que establece una conexi\u00f3n entre pares WebRTC a una direcci\u00f3n IP codificada (\u00ab202.181.177[.]177\u00bb) a trav\u00e9s del puerto UDP 3479 y recupera c\u00f3digo JavaScript que posteriormente se inyecta en la p\u00e1gina web para robar informaci\u00f3n de pago. <\/p>\n

El uso de WebRTC marca una evoluci\u00f3n significativa en los ataques skimmer, ya que elude la Pol\u00edtica de seguridad de contenidos (CSP<\/a>) directivas. <\/p>\n

\u00abUna tienda con un CSP estricto que bloquea todas las conexiones HTTP no autorizadas todav\u00eda est\u00e1 abierta a la exfiltraci\u00f3n basada en WebRTC\u00bb, se\u00f1al\u00f3 Sansec. \u00abEl tr\u00e1fico en s\u00ed tambi\u00e9n es m\u00e1s dif\u00edcil de detectar. Los WebRTC DataChannels se ejecutan sobre UDP cifrado con DTLS, no sobre HTTP. Las herramientas de seguridad de red que inspeccionan el tr\u00e1fico HTTP nunca ver\u00e1n salir los datos robados\u00bb.<\/p>\n

Adobe lanz\u00f3 una soluci\u00f3n para PolyShell en versi\u00f3n 2.4.9-beta1<\/a> lanzado el 10 de marzo de 2026. Pero el parche a\u00fan no ha llegado a las versiones de producci\u00f3n.<\/p>\n

Como mitigaci\u00f3n, se recomienda a los propietarios de sitios bloquear el acceso al directorio \u00abpub\/media\/custom_options\/\u00bb y escanear las tiendas en busca de shells web, puertas traseras y otro malware.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han descubierto un nuevo skimmer de pagos que utiliza Canales de datos WebRTC como medio para recibir cargas \u00fatiles y exfiltrar datos, evitando efectivamente los controles de seguridad. \u00abEn lugar de las habituales solicitudes HTTP o balizas de im\u00e1genes, este malware utiliza canales de datos WebRTC para cargar su carga \u00fatil y […]<\/p>\n","protected":false},"author":1,"featured_media":368,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1294,1292,24,627,1174,1291,1293,36,703,266,1290,1289],"class_list":["post-372","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-comercio","tag-csp","tag-cyberdefensa-mx","tag-datos","tag-electronico","tag-omite","tag-pago","tag-para","tag-robar","tag-sitios","tag-skimmer","tag-webrtc"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=372"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/372\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/368"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}