BLOG

Actúe ya: los nuevos requisitos de la norma PCI DSS v4.0 abordan los ataques basados en navegadores

Miniatura de Angel Grant
Ángel Grant
Publicado el 3 de enero de 2023

Atención, minoristas en línea y vendedores de comercio electrónico: hay un nuevo sheriff en la ciudad para proteger los datos del cliente y los pagos en línea contra el skimming digital y los ataques Magecart.

En marzo de 2022, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI) publicó una versión revisada de su Estándar de seguridad de datos , PCI DSS v4.0, que describe los requisitos mínimos de seguridad que los comerciantes deben cumplir cuando almacenan, procesan y transmiten datos de los titulares de tarjetas. Los requisitos revisados incluyen una serie de mejoras para garantizar transacciones en línea seguras y protegidas para proteger a los consumidores, las empresas y los emisores de tarjetas durante las transacciones comerciales en línea.

Los nuevos requisitos se centran en la necesidad de supervisar y gestionar bibliotecas de JavaScript de terceros basadas en navegador que se incorporan a los sitios web de comercio electrónico para proporcionar funcionalidad lista para usar, como iFrames de procesamiento de pagos, chatbots, publicidad, botones para compartir en redes sociales y scripts de seguimiento. Si bien estas bibliotecas de JavaScript ayudan a las empresas a acelerar el desarrollo de sitios web, también abren un amplio vector de amenazas para los ciberdelincuentes, ya que estos scripts pueden verse fácilmente comprometidos a través de robo de datos digitales y ataques de Magecart para robar credenciales, información de tarjetas de crédito y otra información personal identificable.

Si bien estas infracciones son claramente perjudiciales para los consumidores que son defraudados, también son malas para su negocio, ya que pueden generar violaciones de cumplimiento, pérdida de ingresos, disminución del precio de las acciones, críticas hostiles en las redes sociales y daño al valor de la marca.   

Aunque el cumplimiento de los nuevos requisitos PCI DSS 4.0 no será obligatorio hasta 2025, ¡no espere! Los tipos de ataques que abordan los requisitos están sucediendo hoy en día. Ahora es el momento de proteger la reputación de su empresa y a sus clientes de ataques y fraudes implementando protecciones mejoradas lo antes posible.

¿Cuáles son los peligros de los ataques del lado del cliente?

No hace mucho tiempo, las aplicações web comerciales se construían como una pieza monolítica de código servida desde un servidor web local. Sin embargo, las aplicações web modernas de hoy en día son muy diferentes y a menudo están diseñadas combinando bibliotecas JavaScript de terceros y gran parte del procesamiento se realiza en el lado del cliente, en el navegador del consumidor. Se estima que entre el 70% y el 80% de una página web típica está compuesta por bibliotecas de terceros, y algunos de esos scripts contienen código de otro conjunto de scripts de terceros. Esta larga cadena de dependencias de código significa que las empresas no tienen mucha visibilidad ni control del código que realmente se ejecuta en sus sitios web.

Los actores de amenazas se dan cuenta de que, debido al alcance y la escala de estas dependencias de enésima parte, las organizaciones tienen dificultades para administrar, rastrear y proteger adecuadamente el código que se ejecuta en su entorno, y ni siquiera pueden detectar cuándo el código ha cambiado o es explotado. Esta falta de visibilidad presenta una oportunidad para que los ciberdelincuentes inyecten scripts maliciosos en una página web legítima o en el código de una aplicação web y lancen ataques para interceptar, manipular y secuestrar sesiones de usuario. Luego pueden robar datos personales e información de pago, tomar el control y desfigurar sitios web, presentar contenido falso, crear formularios nuevos o alterar formularios legítimos, todo lo cual puede sentar las bases para el fraude y el robo de cuentas.

Qué requiere PCI DSS v4.0

La norma revisada identifica específicamente las mejoras en la web security del lado del cliente como críticas para cualquier empresa que acepte pagos en línea. El estándar exige que todos los scripts de páginas de pago que se cargan y ejecutan en el navegador del consumidor requieran una gestión integral. En concreto, la nueva norma 6.4.3 exige a los proveedores de comercio electrónico que implementen:

  • Un método para confirmar que cada script está autorizado
  • Un método para asegurar la integridad de cada script
  • Un inventario de todos los guiones con una justificación escrita de por qué cada uno es necesario.

El nuevo estándar requiere que los comerciantes examinen sus políticas y procedimientos para verificar que los procesos estén definidos para administrar todos los scripts de la página de pago que se cargan y ejecutan en el navegador del consumidor. También deben entrevistar al personal responsable y examinar los registros de inventario y las configuraciones del sistema para verificar que todos los scripts de la página de pago que se cargan y ejecutan en el navegador del consumidor se gestionan de acuerdo con todos los elementos especificados en este requisito.

Además, la sección 11.6 de la norma revisada exige que se detecten y se responda a los cambios no autorizados en las páginas de pago. Esto requiere un mecanismo de detección de cambios y manipulaciones que alerte al personal sobre modificaciones no autorizadas de los encabezados HTTP y del contenido de las páginas de pago recibidas por el navegador del consumidor. Los parámetros de configuración deben examinarse al menos una vez cada siete días o con la frecuencia definida en la evaluación del análisis de riesgos de la organización.

Cumplir con estos requisitos mediante soluciones manuales o heredadas es costoso y requiere muchos recursos. Debido a que los scripts de formularios de pago se ejecutan en el lado del cliente, los comerciantes tienen poca visibilidad de su comportamiento, lo que hace que sea fácil que el código malicioso evada la detección. Además, los comerciantes tienen poco control sobre el código de terceros, como las bibliotecas JavaScript dinámicas que operan funciones de la página web como procesadores de pago, formularios de consentimiento de cookies, chatbots o rastreadores de anuncios, porque se actualizan y cambian con frecuencia, a menudo sin el conocimiento del comerciante.

Las técnicas de detección existentes, como Sub-Resource Integrity (SRI), que realiza controles de integridad para garantizar que los scripts no hayan sido manipulados, y Content Security Policy (CSP), que limita las ubicaciones desde donde los navegadores pueden cargar un script y a dónde enviar datos, ya no son suficientes para proteger las aplicações web actuales, que cambian constantemente.

Ayude a su empresa a cumplir con PCI DSS v4.0, lo antes posible

No hay razón para esperar hasta 2025 para cumplir con los mandatos de seguridad requeridos por PCI DSS v4.0. Actúe ahora para proteger su negocio de ataques y a sus clientes del fraude y el robo de cuentas.

F5 Distributed Cloud Client-Side Defense puede ayudarlo de inmediato a abordar los nuevos requisitos de PCI DSS v4.0 y protegerlo contra ataques de Magecart, formjacking, skimming digital y recolección de PII al automatizar el monitoreo de páginas web para detectar código sospechoso, generar alertas procesables y detener la exfiltración de datos inmediatamente con mitigación de un solo clic.

Para obtener más información sobre cómo puede proteger la privacidad de sus clientes y su negocio de violaciones de cumplimiento y, al mismo tiempo, mantener la confianza del consumidor y la reputación de la marca, lea esta descripción general de la solución o vea esta demostración del producto.