Fraudes al acecho durante el Hot Sale 2025
Por Víctor Ruiz
Un evento clave para el e-commerce en México
El Hot Sale 2025 se llevará a cabo del 26 de mayo al 3 de junio, con la participación de más de 700 marcas que ofrecerán promociones y descuentos exclusivos para compras en línea en todo México. Esta campaña busca impulsar el comercio electrónico a través de ofertas especiales, cupones y facilidades de pago disponibles únicamente durante el evento.
Se estima que la derrama económica de este año superará los 30 mil millones de pesos, consolidando al Hot Sale como uno de los eventos más relevantes del e-commerce en el país.
El auge del fraude digital: una amenaza latente
Ante este contexto, es crucial que los consumidores tomen precauciones, ya que han surgido nuevas formas de fraude digital. Entre ellas, destaca la publicidad maliciosa, que convierte sitios legítimos en portales de phishing sin que los propietarios o anunciantes lo adviertan.
La nueva estrategia de los ciberdelincuentes
Los atacantes han comenzado a explotar integraciones con las API de Google, utilizando específicamente llamadas JSONP (JSON con relleno) para insertar scripts maliciosos en tiendas en línea legítimas.
Estos códigos operan de forma sigilosa, redirigiendo a los compradores a sitios de pago falsos que simulan ser confiables. El objetivo: robar información de tarjetas bancarias bajo la apariencia de una transacción legítima.
Un ataque difícil de detectar
A diferencia de tácticas tradicionales de publicidad maliciosa, este tipo de fraude aprovecha la reputación de sitios confiables y espacios publicitarios legítimos, lo que lo convierte en una amenaza particularmente difícil de detectar.
Incluso quienes hacen clic en anuncios auténticos y acceden a tiendas verificadas pueden estar en riesgo, ya que las amenazas se ocultan tras una fachada de legitimidad.
El papel de JSONP en la vulnerabilidad digital
El núcleo de esta amenaza reside en el uso indebido de JSONP, una técnica obsoleta que permitía a los navegadores cargar datos desde dominios externos mediante etiquetas <script>, eludiendo restricciones de seguridad.
Aunque en su momento fue útil para integrar datos externos, hoy en día representa un riesgo significativo por su vulnerabilidad.
Medidas de seguridad insuficientes
Incluso protocolos de seguridad avanzados, como la Política de Seguridad de Contenidos (CSP), pueden fallar. Esto se debe a que muchos sistemas permiten explícitamente dominios confiables —como los de Google—, lo que da a los atacantes una vía para actuar sin ser detectados.
Investigaciones recientes sobre el ataque
La unidad de investigación de SILIKN ha detectado el uso indebido de ciertas API legítimas de Google —como translate.googleapis.com, accounts.google.com y www.youtube.com— como canales para propagar scripts maliciosos.
Entre las plataformas afectadas se encuentran aquellas que utilizan Adobe Commerce y Magento, donde se ha detectado evidencia de múltiples scripts inyectados.
Conclusión: la importancia de la vigilancia digital
Si bien el ataque aún se presenta a una escala limitada, su persistencia y sofisticación resultan preocupantes. Durante el Hot Sale 2025, los estafadores estarán listos para aprovechar estas vulnerabilidades y perpetrar fraudes.
Para combatir estas amenazas, es indispensable mantener una vigilancia constante y aplicar monitoreo proactivo para detectar cualquier inyección sospechosa de scripts. Reforzar las medidas de seguridad será clave para proteger a los usuarios y salvaguardar la integridad de las plataformas en línea.
