Fuiste al supermercado y te quedaste sin dinero en la tarjeta: las mayores cadenas del mundo «regalan» tus datos a los hackers
Expertos detectaron el robo de datos de usuarios de la plataforma PrestaShop en 25 países.
Una compra habitual de alimentos en una gran cadena puede terminar en el robo de datos de la tarjeta bancaria. La empresa Sansec detectó código malicioso en el sitio web de una de las diez mayores cadenas de supermercados del mundo; sin embargo, cuatro días después de las notificaciones el script seguía funcionando.
Se trata de un minorista con ingresos anuales de alrededor de 100.000 millones de euros y más de 10.000 tiendas en 25 países. Parte de las ventas por Internet se realiza en la plataforma PrestaShop. Según los investigadores, el código malicioso está activo desde el 16 de febrero.
Este ya es el segundo caso en las últimas semanas en que una gran marca mundial resulta afectada por la llamada suplantación digital. En enero Sansec encontró un interceptador en el sitio de la tienda interna de uno de los tres mayores bancos de Estados Unidos. Entonces el ataque también pasó desapercibido durante mucho tiempo.
El nuevo esquema combina un conjunto de herramientas listo para robar datos con un formulario de pago falso, cuidadosamente adaptado al idioma y al diseño de la tienda. El comprador introduce el número de la tarjeta, la fecha de caducidad y el código de seguridad en el formulario falso, tras lo cual se le redirige a la página real del servicio de pagos. Allí se le solicita introducir los datos de nuevo. La mayoría de las personas no perciben el engaño y completan el pedido, sin sospechar que la información ya ha sido enviada a los atacantes.
A la técnica se la llama suplantación de tarjetas en dos pasos. Los sistemas de pago, según la norma PCI DSS, exigen redirigir a los clientes a formularios protegidos alojados por el propio proveedor de pagos. Intervenir directamente en ellos es difícil, por eso los atacantes insertan su propio formulario sobre la página. El desarrollo de modelos generativos ha simplificado la tarea: ahora se pueden crear rápidamente esas ventanas falsas para cualquier idioma y diseño.
El ataque ocurre en la página de pago. El script supervisa todos los campos de entrada y guarda los valores introducidos en el almacenamiento del navegador. Los datos de la tarjeta se registran por separado y se protegen contra la sobrescritura. Cuando el usuario pulsa el botón de pago, el código verifica el número de tarjeta, forma un conjunto de datos junto con la dirección del pagador y datos del navegador, los codifica y los envía al dominio stylemercedes.top, disfrazado de servicio de recopilación de estadísticas. Tras eso, el código malicioso borra las huellas, restaura la página original y activa el botón de pago real.
Es interesante que el script puede reconocer a los administradores del sitio. Comprueba indicios de paneles de control de los sistemas de gestión de contenidos más populares, incluyendo WordPress y Magento. Si detecta que la página la abrió un empleado de la tienda, el formulario falso no se muestra. Los propietarios del sitio pueden incluso no sospechar del problema.
Ante este caso, la propia PrestaShop en enero de 2026 advirtió a sus socios sobre una ola de ataques que inyectan scripts maliciosos en archivos de plantillas. En el mundo operan casi 300.000 tiendas en esta plataforma, lo que la convierte en un objetivo atractivo. Sansec informó a la empresa afectada seis veces, usando una dirección general, el contacto de seguridad del archivo security.txt y un mensaje privado al director de seguridad de la información en LinkedIn. No hubo respuesta, y el código malicioso no se eliminó al momento de la publicación del informe.