F5 Distributed Cloud Client-Side Defense prepara a los clientes para PCI DSS v4.0.1

En los últimos años, los ataques de formjacking y Magecart han surgido como amenazas dominantes en el panorama del comercio electrónico y los pagos digitales. Estos ataques del lado del cliente extraen silenciosamente datos confidenciales, incluidos números de tarjetas de crédito, credenciales de inició de sesión e información de identificación personal (PII) directamente de los navegadores de los usuarios, sin tocar nunca los servidores de la organización. Los ataques eluden las defensas tradicionales del perímetro y del lado del servidor inyectando JavaScript malicioso en scripts de terceros o directamente en el código front-end.

El formjacking se basa en la inyección de JavaScript malicioso en formularios en línea para capturar las entradas del usuario a nivel del navegador. A menudo se lleva a cabo mediante la explotación de vulnerabilidades en scripts de terceros o redes de distribución de contenido (CDN), lo que dificulta su detección mediante herramientas de seguridad del lado del servidor.

Magecart es un término general para un conjunto de grupos cibercriminales que se especializan en el robo de información web. Estos grupos cibercriminales generalmente comprometen los sitios de comercio electrónico inyectando código JavaScript que roba datos de pago durante el proceso de pago. Estos datos robados luego se filtran a dominios controlados por los atacantes, a menudo ofuscados u ocultos bajo solicitudes de apariencia legítima.

Ambos tipos de ataques comparten un vector común: el navegador. Y su éxito depende de la poca visibilidad que tengan las organizaciones sobre lo que realmente se ejecuta del lado del cliente.

Con el lanzamiento del Estándar de seguridad de datos de la Industria de Tarjetas de Pago (PCI DSS) v4.0.1 , el Consejo de Normas de Seguridad PCI aborda directamente la creciente amenaza de los ataques del lado del cliente. Por primera vez, el PCI SSC ha incluido dos requisitos del lado del cliente vigentes a partir del 31 de marzo de 2025 para abordar directamente este nuevo vector de ataque:

Requisito 6.4.3: Todos los scripts de la página de pago que se cargan y ejecutan en el navegador del consumidor se gestionan de la siguiente manera:

• Se implementa un método para confirmar que cada script esté autorizado.
• Se implementa un método para asegurar la integridad de cada script.
•  Se mantiene un inventario de todos los scripts con una justificación comercial o técnica escrita que explica por qué cada uno es necesario.

Requisito 11.6.1 – Se implementa un mecanismo de detección de cambios y manipulaciones de la siguiente manera:

• Para alertar al personal sobre modificaciones no autorizadas (incluidos indicadores de compromiso, cambios, adiciones y eliminaciones) a los encabezados HTTP que afectan la seguridad y al contenido de los scripts de las páginas de pago recibidas por el navegador del consumidor.
• El mecanismo está configurado para evaluar los encabezados HTTP y las páginas de pago recibidos.

Estos nuevos mandatos reconocen una verdad fundamental: los scripts del lado del cliente son ahora una parte crítica de la superficie de ataque PCI. Sin embargo, para muchas organizaciones, cumplir estos requisitos presenta obstáculos operativos y técnicos, especialmente dada la naturaleza dinámica de los ecosistemas de JavaScript y la dependencia de servicios de terceros.

Los firewalls de aplicação web tradicionales (WAF), las soluciones de gestión de eventos e información de seguridad (SIEM) y las herramientas de puntos finales operan en el servidor o el perímetro de la red. Carecen de visibilidad del entorno de ejecución final: el navegador del usuario. Una vez que se inyecta un código malicioso (ya sea a través de un administrador de etiquetas comprometido, una CDN o un ataque a la cadena de suministro de terceros), las herramientas del lado del servidor a menudo pasan por alto la violación por completo. Aquí es donde F5 Distributed Cloud Client-Side Defense entra.

A diferencia de las herramientas del lado del servidor, Distributed Cloud Client-Side Defense opera en el mismo navegador, brindando monitoreo en tiempo real, validación de integridad y alertas sobre comportamiento malicioso a medida que ocurre. Y recientemente actualizamos el servicio para que esté diseñado específicamente para abordar las amenazas descritas en los requisitos 6.4.3 y 11.6.1 de PCI DSS v4.0.1.

Así es como ayuda:

• Inventario y autorización de guiones :  Distributed Cloud Client-Side Defense rastrea y mantiene continuamente un inventario de todos los scripts que se ejecutan en las páginas de pago, tanto propios como de terceros. Las organizaciones pueden establecer una lista de scripts permitidos con justificaciones escritas y recibir alertas si aparecen scripts nuevos o no autorizados, lo que ayuda a demostrar el cumplimiento con 6.4.3.
• Validación de la integridad del script:  Distributed Cloud Client-Side Defense valida la integridad de los scripts al instrumentar el tiempo de ejecución de la aplicação web para detectar cambios de comportamiento significativos que sean indicativos de un comportamiento inesperado y potencialmente malicioso, en particular nuevas solicitudes de red y nuevos accesos a datos.
• · Scripts y seguridad que impactan en la monitorización del encabezado HTTP :  Distributed Cloud Client-Side Defense inspecciona periódicamente los scripts y los encabezados HTTP que afectan la seguridad en busca de modificaciones no autorizadas y alerta si se detectan cambios para ayudar a las organizaciones a demostrar su cumplimiento con 11.6.1.
• Detección de exfiltración: Los modelos de amenazas avanzados monitorean las solicitudes salientes en busca de señales de exfiltración de datos. Si un script intenta enviar datos de formulario capturados a un punto final sospechoso, se activan alertas y las organizaciones pueden tomar acciones de mitigación directas para bloquear llamadas de red y lecturas de campos de formulario.
• Alertas e informes listos para la empresa : Los equipos de seguridad y cumplimiento obtienen telemetría completa sobre el comportamiento de los scripts, las relaciones de dominio y los flujos de datos del lado del navegador, ideal para registros de auditoría de PCI e investigaciones forenses.