Los hackers han encontrado una nueva herramienta en su interminable búsqueda para causar problemas. Han comenzado a abusar de la aplicación empresarial Apps Script desarrollada por Google en un intento por robar información de identificación personal y de tarjetas de crédito.

Eso es significativo porque, dada la posición dominante de Google en Internet, el mercado confía ampliamente en Apps Script.

Ese hecho permite a los hackers enmascarar sus actividades ilícitas y se ve reforzado por el hecho de que la mayoría de los proveedores en línea incluyen en la lista blanca los subdominios de Google de forma predeterminada. ¿Por qué no iban a hacerlo? Google desempeña un papel fundamental en la Internet actual y la mayoría de los propietarios de empresas dependen en gran medida de una amplia gama de herramientas y servicios de Google.

Desafortunadamente, eso crea una oportunidad que los hackers están encantados de aprovechar. Armados con un medio para enmascarar sus actividades, los hackers pueden inyectar código malicioso en una serie de soluciones de carrito de compras de comercio electrónico, muchas de las cuales están basadas en JavaScript.

El descubrimiento de esta última táctica se lo debemos al investigador de seguridad de Sansec, Eric Brandel.

Brandel dijo lo siguiente sobre el descubrimiento reciente:

“Esta nueva amenaza muestra que simplemente proteger las tiendas web para que no hablen con dominios que no son de confianza no es suficiente. Los gerentes de comercio electrónico deben asegurarse de que los atacantes no puedan inyectar código no autorizado en primer lugar. El monitoreo de vulnerabilidades y malware del lado del servidor es esencial en cualquier seguridad moderna política.

… cuando una campaña de skimming se ejecuta completamente en servidores confiables de Google, muy pocos sistemas de seguridad la marcarán como “sospechosa”. Y lo que es más importante, las contramedidas populares como Content-Security-Policy (CSP) no funcionarán cuando un administrador del sitio confía en Google.

CSP se inventó para limitar la ejecución de código que no es de confianza. Pero como casi todo el mundo confía en Google, el modelo es defectuoso “.

Y ese es el meollo del problema. Afortunadamente, si el desempeño anterior de Google es una indicación, actuarán rápidamente para hacer que sus sistemas sean aún más seguros, limitando así la amenaza. Sin embargo, hasta que eso suceda, vale la pena tener en cuenta el hecho de que existe y planificar en consecuencia.