Qué es el e-skimming, el fraude silencioso que amenaza a tu dinero en billeteras virtuales

Las billeteras virtuales son el motor de las finanzas cotidianas para millones de personas que, en un contexto económico complejo, confían su dinero a plataformas como Mercado Pago, Personal Pay o Naranja X. Esta masiva digitalización cambió nuestros hábitos de consumo y además crearon un campo de juego sumamente fértil para el crimen organizado, que perfecciona constantemente sus técnicas de fraude.

Ante el volumen millonario en dinero involucrado, las tácticas delictivas dieron un salto. A diferencia de los burdos engaños telefónicos, emerge con fuerza el "e-skimming", una modalidad delictiva silenciosa que actúa directamente sobre el navegador web del usuario, poniendo en jaque la seguridad de las cuentas digitales.

¿Qué es el e-skimming y por qué es invisible?

El e-skimming, también conocido como web skimming o ataque Magecart, es la inyección de líneas de código malicioso en el sitio web de un comercio. Su único propósito es uno: copiar y extraer los datos confidenciales que los clientes ingresan en formularios de pago o pantallas de "login".

Los expertos en ciberseguridad lo clasifican como un ataque del lado del cliente. Esto es crucial: el robo de la información ocurre en tiempo real, en el navegador del consumidor, mucho antes de que esos datos viajen al servidor del comercio para ser procesados. Esta captura prematura anula la eficacia de los sistemas de seguridad tradicionales de las empresas, como los "firewalls" de aplicaciones web.

La gravedad de este fraude radica en su invisibilidad. Para el consumidor, el proceso de compra transcurre con normalidad; el pago se procesa sin errores. Sin embargo, en segundo plano, un "script" basado en JavaScript copia cada pulsación de teclado y la transmite a servidores controlados por los delincuentes.

El modus operandi del ciberdelito: tres fases de la intrusión

El desarrollo de un ataque de e-skimming es un trabajo que se articula en tres fases.

1. El acceso ilegítimo al sistema

Los atacantes identifican y explotan vulnerabilidades en las plataformas de comercio electrónico. No obstante, la vía más preocupante es el ataque a la cadena de suministro. En lugar de atacar al comercio directamente, comprometen a proveedores externos que la tienda en línea carga en su web de cobros: chats de soporte, contadores de visitas o píxeles de publicidad. Al comprometer a un solo proveedor, el script malicioso se esparce simultáneamente a miles de sitios web.

2. Inyección e implantación del script

Una vez dentro, los atacantes integran el código malicioso en archivos JavaScript legítimos de las páginas de pago. Para evitar la detección, este código es sometido a un proceso de ofuscación. Los scripts más modernos incluso simulan el comportamiento legítimo del sistema, y logran dar formato automático al número de tarjeta o resaltar errores, detalles que incrementan la apariencia de autenticidad de la pasarela frente a los ojos del comprador.

3. Exfiltración sigilosa de los datos

Al momento del tecleo por parte de la víctima, el script captura los datos y los convierte en objetos codificados en formato Base64 para ocultar su contenido. La exfiltración se realiza a través de solicitudes discretas, a menudo camufladas como peticiones de imágenes, dirigidas a dominios web controlados por los atacantes. Investigaciones de Visa sobre una variante de malware conocida como "Inter" revelaron que este software verifica los números de cuenta con el algoritmo de Luhn antes de la transmisión, para asegurar el robo exclusivo de tarjetas válidas.

E-skimming vs. skimming tradicional: El abismo digital

El término "skimming" evoca la técnica de clonación de tarjetas en cajeros automáticos. Aunque el objetivo (robar credenciales financieras) es idéntico, la evolución digital redefine los métodos de ejecución.

El skimming tradicional depende de herramientas físicas: lectores falsos, teclados artificiales o microcámaras ocultas. Requiere el desplazamiento físico del delincuente y limita el daño a quienes usan la terminal saboteada.

En contraste, el e-skimming se desenvuelve por completo en el plano virtual, prescindiendo de la proximidad física o de la manipulación de hardware. El canal de compromiso son las páginas web de pago y los formularios HTML. A diferencia de un dispositivo plástico flojo en un cajero, es invisible al consumidor final, ya que el diseño del sitio no presenta alteraciones. Finalmente, la escala del daño es masiva: un solo script comprometido afecta a múltiples dominios y miles de usuarios a la vez.

El vínculo con las billeteras virtuales

La relación entre el e-skimming y las billeteras virtuales es estrecha. Contra el sentido común, suprimir el uso de tarjetas de crédito físicas no aísla al usuario de esta amenaza.

La mayoría de las billeteras virtuales locales proveen tarjetas prepagas digitales respaldadas por marcas internacionales para realizar pagos en línea. Si un usuario ingresa los datos de estas tarjetas en un comercio electrónico infectado, la información y el código de seguridad CVV resultan comprometidos del mismo modo que una tarjeta bancaria común.

Pero los criminales van más allá del "plástico" digital. Los scripts de e-skimming también se programan para extraer nombres de usuario y contraseñas de inicio de sesión de servicios financieros. Con esta recolección, se ejecutan ataques de apropiación de cuentas. Al obtener acceso directo a la aplicación de la víctima, los delincuentes vacían el saldo disponible, liquidan inversiones o solicitan préstamos de acreditación inmediata para transferir los fondos a cuentas de difícil rastreo.

La sofisticación de estos fraudes quedó al descubierto en investigaciones judiciales recientes. Una causa en Santa Fe reveló estafas por casi 30 millones de pesos, al exponer vulnerabilidades en los sistemas de alta de usuarios (apertura de cuentas con documentos falsificados e identidades suplantadas) y la falta de doble factor de autenticación.

Este peligro se agiganta ante las nuevas directivas de control fiscal. La Agencia de Recaudación y Control Aduanero (ARCA) actualizó los topes de información automática para operaciones en bancos y billeteras. La concentración de fondos líquidos exentos de justificación inmediata, que ahora alcanzan los 50 millones de pesos para personas físicas, incrementa la atracción para los ciberdelincuentes. Los estafadores centran sus recursos en el control de cuentas con grandes volúmenes de capital para desviar sumas antes de que se activen las alarmas.

Otro vector de ataque proviene del secuestro de correos electrónicos. En la Argentina se identificaron campañas masivas que simulan alertas oficiales de soporte de Google, presionando a la víctima bajo amenaza de suspensión de la cuenta.

Al dominar el correo, los criminales solicitan el restablecimiento de contraseñas de aplicaciones financieras e interceptan los códigos de validación temporal, y causan un daño irreversible en la seguridad del usuario.

Señales de alerta: Cómo descubrir la trampa

Dada su naturaleza silenciosa, el e-skimming exige un esfuerzo de detección por parte de los usuarios de billeteras virtuales

• Cobros menores o desconocidos: La principal evidencia son los consumos de comercios extraños en el detalle de la tarjeta prepaga virtual. Los cargos fraudulentos suelen iniciarse meses después de la filtración del dato.
• Códigos OTP no solicitados: La recepción insistente de mensajes de texto con contraseñas de un solo uso (OTP, sigla en inglés) para autorizar compras o validar inicios de sesión indica una filtración grave de credenciales.
• Comportamiento inusual al pagar: Errores repentinos de sesión o páginas de redirección extrañas al pulsar el botón de confirmación son indicios claros de manipulación del proceso mediante un script malicioso.

Estrategias de prevención para blindar tus fondos

Para resguardarse de la inyección de código y otras amenazas, los usuarios deben adoptar una postura preventiva rigurosa.

• Tarjetas con saldo limitado o de un solo uso: Es la táctica más segura. La generación de tarjetas digitales dinámicas garantiza la caducidad temporal de la información. Si un e-skimmer roba los datos, estos pierden validez casi de inmediato, neutralizando el impacto.
• Activación de alertas de consumos: Configurar notificaciones inmediatas por mensaje, correo o aviso dentro de la aplicación de la "Fintech" permite una reacción rápida para el bloqueo del plástico virtual ante los primeros indicios de fraude.
• Cautela con pagos sospechosos recibidos: Si recibís transferencias extrañas por error, establecé una pausa. Los estafadores utilizan fondos robados y luego contactan a la víctima con pedidos de reintegro urgente. Nunca devuelvas dinero de forma precipitada; denunciá la operación sospechosa a los canales oficiales de la plataforma para evitar la pérdida de fondos propios.
• Blindar el correo electrónico: El acceso principal debe estar protegido con contraseñas robustas y autenticación de doble factor basada en aplicaciones autenticadoras o llaves físicas, sin depender solo de mensajes de texto.
• Instalar solo desde plataformas oficiales: Descartá programas con software malicioso oculto. Para ello, instalá aplicaciones financieras únicamente desde tiendas autorizadas.

Las billeteras virtuales impulsaron la inclusión financiera de millones de personas en la Argentina. Sin embargo, la brecha entre la velocidad de la innovación tecnológica y la educación en seguridad del usuario creó un terreno fértil para amenazas invisibles como el e-skimming. Para sobrevivir a estos peligros, la ciberseguridad debe transformarse en un pilar en el manejo de nuestras finanzas diarias. Con precaución y tecnologías de barrera, los usuarios podrán resguardar sus pesos frente al crimen digital.