Mientras tú estabas comprando unos zapatos en una tienda Magento cualquiera, alguien más —en algún lugar del mundo— estaba ejecutando código malicioso directamente en tu navegador. No por visitar un sitio pirata. No por hacer clic en un anuncio dudoso. Por comprar en una tienda legítima, operada por una empresa de software que fue hackeada en silencio hace seis años.
Una bomba de tiempo en la cadena de suministro
Esto no fue un simple ataque a una web. Fue una infección quirúrgica a proveedores de software que ofrecen extensiones para tiendas online basadas en Magento (Adobe Commerce). Según Sansec, al menos 500 sitios e-commerce fueron comprometidos, incluyendo uno perteneciente a una empresa con un valor de mercado de 40 mil millones de dólares.
Y puede que la cifra real sea el doble.
¿Qué pasó exactamente?
-
Tres proveedores (Tigren, Magesolution y Meetanshi) distribuyeron software malicioso.
-
El código malicioso, oculto dentro de funciones como
adminLoadLicense, permaneció latente durante seis años. -
En abril de este año, el malware se activó, permitiendo a los atacantes ejecutar PHP arbitrario en los servidores de las tiendas.
-
Una vez dentro, los atacantes inyectaron skimmers tipo Magecart en los navegadores de los clientes. Resultado: robo de tarjetas y datos sensibles.
Sí, todo esto sucedió con software firmado y legal, distribuido por desarrolladores con cientos de clientes en producción.
Lo que nadie te cuenta sobre esto
-
El backdoor era un sleeper agent. Se activó seis años después. Lo que plantea una pregunta inquietante: ¿cuántos más hay durmiendo en nuestro código?
-
Las tiendas no tienen idea de que están comprometidas. Muchas siguen operando con extensiones infectadas que se siguen distribuyendo desde los sitios originales. Tigren y Magesolution, según Sansec, ni siquiera han dejado de distribuirlas.
-
La detección es técnica, y poca gente lo está haciendo. Requiere buscar patrones muy específicos en el código, como
$licenseFile. ¿Cuántas pymes tienen capacidad o presupuesto para auditar eso? -
Adobe, propietaria de Magento, guarda silencio. Porque esto no es un fallo de su plataforma base, sino de su ecosistema de plugins. ¿Resultado? Responsabilidad diluida.
-
El malware ejecuta código en el navegador del cliente. Esto no es solo un ataque al servidor. Es una agresión directa al consumidor, que ni siquiera sabrá que fue víctima hasta que vea cargos extraños en su tarjeta.
Conclusión sin anestesia
Este ataque es el peor tipo de brecha: silenciosa, masiva y construida sobre la confianza ciega en el software de terceros. Durante seis años nadie notó nada. Y ahora, cientos de tiendas están infectadas y miles de clientes expuestos. El modelo de "instala este plugin y olvídate" ha muerto. Larga vida a la auditoría continua, la revisión de dependencias y la paranoia técnica justificada.
0 Comentarios