Fraudes al acecho durante el Hot Sale 2025: Se hace un llamado a reforzar la seguridad digital
Imagen: Zdzisław Beksiński
El Hot Sale 2025 se realizará del 26 de mayo al 3 de junio, con la participación de más de 700 marcas que, durante nueve días, ofrecerán promociones y descuentos exclusivos para compras en línea en todo México. Esta campaña busca impulsar el comercio electrónico a través de ofertas especiales, cupones, facilidades de pago y financiamiento disponibles únicamente durante el evento.
Se estima que este año la derrama económica supere los 30 mil millones de pesos, consolidando al Hot Sale como uno de los eventos más relevantes del e-commerce en el país.
Sin embargo, ante este contexto, es fundamental que los consumidores tomen precauciones, ya que han surgido nuevas formas de fraude digital. Entre ellas, destaca el uso de publicidad maliciosa que convierte sitios legítimos de comercio electrónico en portales de phishing sin que los propietarios o anunciantes lo adviertan. Esta sofisticada técnica representa un riesgo creciente para los compradores en línea.
Los ciberdelincuentes han comenzado a explotar integraciones con las API de Google, utilizando específicamente llamadas JSONP (JSON con relleno), para insertar scripts maliciosos en tiendas en línea legítimas.
Estos códigos operan de forma sigilosa, redirigiendo a los compradores a sitios de pago falsos que simulan ser confiables, con el objetivo de robar información sensible de tarjetas bancarias bajo la apariencia de una transacción legítima.
A diferencia de las tácticas tradicionales de publicidad maliciosa, que suelen involucrar anuncios sospechosos o redireccionamientos evidentes, este tipo de ataque se vale de la reputación de sitios confiables y espacios publicitarios legítimos, lo que lo convierte en una amenaza particularmente difícil de detectar.
De esta manera, incluso quienes hacen clic en anuncios auténticos y acceden a tiendas verificadas pueden estar en riesgo, ya que las amenazas se ocultan tras una fachada de legitimidad.
Esta técnica representa un arma de doble filo: los atacantes se aprovechan de la reputación de marcas legítimas para engañar a los usuarios, al tiempo que utilizan los esfuerzos de marketing digital de esas mismas empresas — como campañas publicitarias o SEO — para redirigir tráfico a sus sitios fraudulentos, sin necesidad de invertir en su propia promoción.
El núcleo de esta amenaza reside en el uso indebido de JSONP (JSON con relleno), una técnica obsoleta que permitía a los navegadores cargar datos desde dominios externos mediante etiquetas <script>, eludiendo así las restricciones de seguridad que impiden compartir información entre diferentes sitios web. Aunque en su momento fue útil para integrar datos externos, hoy en día representa un riesgo significativo y ha quedado en desuso por su vulnerabilidad.
Una de sus principales fallas es que el contenido recibido se ejecuta automáticamente al cargarse, sin validaciones de seguridad. Esto implica que, si un atacante logra comprometer un punto final de una API que utiliza JSONP, puede inyectar código JavaScript malicioso que se ejecuta de forma inmediata y sin control, facilitando ataques como la inyección de scripts (XSS).
Lo más preocupante es que incluso medidas de seguridad avanzadas como la Política de Seguridad de Contenidos (CSP), diseñadas para prevenir este tipo de amenazas, pueden fallar. Esto ocurre porque muchos sistemas permiten explícitamente dominios considerados confiables — como los de Google — , lo que da a los atacantes una vía para actuar sin ser detectados fácilmente.
En este sentido, la unidad de investigación de SILIKN ha detectado el uso indebido de ciertas API legítimas de Google — como translate.googleapis.com, accounts.google.com y www.youtube.com— como canales para propagar scripts maliciosos.
Esta vulnerabilidad permite a los atacantes evadir mecanismos de seguridad tradicionales y comprometer la seguridad de los usuarios incluso en plataformas legítimas. La cadena del ataque suele concluir con redirecciones hacia sitios de pago falsos, alojados en dominios maliciosos diseñados para robar información confidencial.
Entre las plataformas de comercio electrónico afectadas se encuentran aquellas que utilizan Adobe Commerce y Magento, donde se ha encontrado evidencia de múltiples scripts inyectados, lo que incrementa considerablemente el nivel de riesgo para los compradores en línea.
Aunque esta amenaza fue reportada a Google en noviembre de 2024, numerosos sitios web comprometidos aún permanecen activos, exponiendo a los usuarios a riesgos continuos de phishing.
Si bien el ataque aún se presenta a una escala limitada, su persistencia y nivel de sofisticación resultan preocupantes, especialmente porque aprovecha infraestructura confiable para ejecutar acciones maliciosas y estarían listas para perpetrar estafas durante el Hot Sale 2025.
Además del robo de información mediante phishing, los atacantes pueden utilizar estas vulnerabilidades para realizar redirecciones automáticas, enviando a los usuarios a sitios fraudulentos sin que estos tengan que hacer clic o interactuar, lo que socava la confianza de los usuarios y perjudica seriamente la reputación de los propietarios de los sitios afectados.
Dado que los ciberdelincuentes siguen aprovechando dominios legítimos, como los de Google, para distribuir contenido malicioso, resulta indispensable mantener una vigilancia constante y aplicar monitoreo proactivo que permita detectar cualquier inyección sospechosa de scripts. Reforzar las medidas de seguridad es clave para proteger a los usuarios y salvaguardar la integridad de las plataformas en línea ante amenazas cada vez más sigilosas y sofisticadas.
Para más información, visite: https://www.silikn.com/