Expertos advierten que la práctica elude controles tradicionales como Content Security Policy y X-Frame-Options, e instan a reforzar la seguridad de toda la página y cumplir con los estándares PCI DSS.
 

Un reciente informe de investigadores de ciberseguridad documentó una campaña masiva de skimmers que utiliza iframes de pago para capturar datos de tarjetas. El ataque se basa en insertar un iframe malicioso dentro de la página de pago o superponerlo sobre el iframe legítimo. Cuando el cliente introduce los datos, el iframe los envía directamente a los atacantes.
 

Los expertos señalan que estos skimmers no modifican el contenido de la página principal; en su lugar, se inyectan mediante servicios de terceros o extensiones comprometidas. En la última campaña se aprovechó una API de Stripe obsoleta, lo que permitió a los criminales eludir controles como Content Security Policy (CSP) y X‑Frame‑Options.
 

La técnica, conocida como «overlay», engaña al usuario al mostrar un formulario legítimo mientras oculta un segundo formulario que captura la información real.

Además de la superposición, los atacantes emplean métodos como la falsificación de mensajes postMessage, exfiltración de CSS y scripts ocultos. Estas tácticas permiten que el skimmer funcione incluso en tiendas que utilizan medidas básicas de seguridad, ya que la extracción de datos ocurre en la capa de interfaz y no en el backend.
 

La campaña ha afectado a docenas de comercios. Los investigadores advierten que muchas empresas confían en que el iframe de pago, al estar alojado por un procesador certificado PCI, es seguro por sí mismo. Sin embargo, el nuevo modus operandi demuestra que es necesario proteger toda la página, no solo el iframe de la pasarela.
 

El caso evidencia que, a medida que los métodos de pago se diversifican (NFC, billeteras digitales, SoftPOS), los atacantes también refinan sus técnicas. Para comerciantes y proveedores de tecnología en América Latina, donde el comercio electrónico crece aceleradamente, la lección es clara: no basta con delegar la seguridad al procesador de pagos; hay que blindar toda la experiencia de compra.