PCI DSS es el estándar básico: Por qué proteger aplicaciones web y API en el comercio electrónico

Aunque no es nuevo, el último estándar PCI amplía considerablemente el alcance de sus directrices. Durante años, un error común se reducía a: “Estoy cubierto, tengo un firewall, ya está.” Ahora podemos dejar atrás esa idea errónea.

La modernización de las aplicaciones, el auge de los puntos de contacto digitales omnicanal y el avance continuo en la sofisticación de los atacantes exigen añadir múltiples controles de seguridad para cumplir con PCI DSS, incluyendo la seguridad de los scripts de pago, la protección de las APIs, la detección rápida y respuesta ante credenciales vulneradas y los análisis regulares de vulnerabilidades.

Como indica la Guía de mercado Gartner 2025 para la protección de aplicaciones web y API en la nube, proteger el lado del cliente gana importancia al exigir el último estándar PCI controles de seguridad para todos los scripts de pago.

Las aplicaciones web se vuelven cada vez más complejas debido a la descentralización de la arquitectura y la distribución de los componentes de software en entornos híbridos y multinube. Esta separación de la infraestructura de aplicaciones y la expansión de las cadenas de suministro de software facilitan amenazas que atacan la lógica empresarial y los navegadores de los clientes como parte del ciclo de vida industrializado del ataque.

{"text":"Los ataques del lado del cliente, como los robadores de información, pueden usarse para recopilar credenciales de usuario que luego se emplean en ataques automatizados a gran escala que, si no se mitigan, pueden conducir a la apropiación de cuentas y al fraude."}

El formjacking inyecta JavaScript malicioso en formularios en línea para capturar las entradas del usuario a nivel del navegador. A menudo se realiza explotando vulnerabilidades en scripts de terceros y resulta difícil de detectar con los controles de seguridad tradicionales y centralizados.

Magecart agrupa a varios grupos cibercriminales especializados en web skimming, que atacan sitios de comercio electrónico inyectando código JavaScript para robar datos de pago durante el proceso de compra.

Los firewalls de aplicaciones web (WAF) siguen siendo un control de seguridad estratégico, especialmente porque el nuevo estándar establece que todas las vulnerabilidades representan una oportunidad para los atacantes y deben abordarse de forma constante. Muchos WAF protegen APIs, pero la velocidad del desarrollo moderno exige capacidades que detecten dinámicamente y protejan automáticamente los endpoints ocultos en la lógica empresarial o integrados en ecosistemas de terceros, preferiblemente en el código y durante las pruebas.

Aunque los procesos del ciclo de vida del software y las técnicas de codificación segura marcan la dirección, las evaluaciones de riesgos deben ser continuas y las mitigaciones suelen requerir una seguridad robusta en tiempo de ejecución durante la producción, abarcando desde el navegador del cliente hasta la aplicación web frontend y las API backend, para proteger eficazmente contra ataques en múltiples vectores de amenazas en experiencias digitales altamente interconectadas. 

Las vulnerabilidades son fallos o puntos débiles en el software que los atacantes pueden aprovechar. Dado que las aplicaciones funcionan principalmente con sistemas basados en API, las funciones de la lógica empresarial en el backend están muy expuestas a abusos.

Laboratorios F5 investigación explica cómo el sector del comercio electrónico presentó una de las mayores proporciones de ataques avanzados, con un 44,82 % de credential stuffing móvil avanzado. Estos atacantes emplean diversas herramientas para simular el comportamiento del navegador, del móvil y del usuario en un intento de evadir la detección, incluyendo la generación de tokens válidos, falsificación de señales de telemetría y emulación de eventos de teclado y mouse. Los atacantes se reinventan constantemente para superar las defensas, pasando de aplicaciones web a móviles o ampliando sus tácticas, técnicas y procedimientos.

Los ataques al sector del comercio electrónico también emplean bots de revendedores que abusan de la función de agregar al carrito, lo que puede impedir que los clientes reales realicen transacciones. Más de una de cada cinco transacciones de agregar al carrito observadas en más de 200 mil millones de solicitudes web y API analizadas fueron automatizadas.

Además, los bots manipulan las opiniones de los usuarios para crear reseñas falsas realistas, en muchos casos con IA generativa.

Incluso en el comercio electrónico, la investigación de amenazas de F5 Labs ha descubierto que la industria de la moda es la más afectada por los scrapers, que extraen grandes cantidades de datos y contenido de sus objetivos, representando el 53,23% de todo el tráfico web. El scraping puede poner en desventaja a tu negocio en términos de precios y poner en riesgo la propiedad intelectual.

La última PCI DSS incluye varias recomendaciones para emplear análisis de riesgos específicos en lugar de las evaluaciones de riesgos tradicionales a nivel empresarial.

En particular, el estándar actualizado aborda la creciente amenaza de ataques del lado del cliente con dos requisitos para el lado del cliente vigentes a partir del 31 de marzo de 2025, pero no especifica de manera prescriptiva cómo deben cumplirlos las organizaciones.

Estos nuevos mandatos reconocen que los scripts maliciosos en el lado del cliente representan una amenaza cada vez mayor para la industria de tarjetas de pago.  Las técnicas consolidadas para afrontar estos riesgos, como las Políticas de Seguridad de Contenido (CSP) para bloquear inyecciones de código no autorizadas en un sitio web y los métodos web de Integridad de Subrecursos (SRI) para asegurar que las aplicaciones de terceros no hayan sido alteradas, resultan complejas de implementar y mantener, especialmente en esta era de IA, donde la competencia por captar la atención del cliente impulsa mejoras constantes en las experiencias digitales.

Los clientes esperan realizar transacciones con facilidad y no aceptan retrasos, fallos ni, sobre todo, incidentes de seguridad. Los controles de seguridad más comunes, como las soluciones de firewall para aplicaciones web, no siempre protegen al navegador del cliente ni a las API del backend de manera adecuada. Las soluciones de gestión de bots que usan desafíos con CAPTCHA apenas disuaden a los ciberdelincuentes expertos, pero sí frustran mucho a los usuarios. Incluso la autenticación multifactor se puede eludir.

Los atacantes utilizan diferentes técnicas según la plataforma, el sector y la lógica comercial que puedan aprovechar; en el comercio electrónico, impedir que un comprador añada un artículo a su carrito representa una amenaza grave. Está en riesgo la transacción, los ingresos generados y la fidelización de clientes.