El peligro silencioso que se esconde en las compras navideñas: así funciona el robo digital de tarjetas

P. A.

ACTUALIDAD

iStock

En plena temporada de compras, miles de usuarios podrían estar expuestos a un robo silencioso de sus datos bancarios, sin señales visibles y mientras confían en páginas que parecen seguras

03 dic 2025 . Actualizado a las 14:44 h.

En estas semanas frenéticas, cuando los carritos virtuales empiezan a llenarse y el comercio electrónico vive su particular temporada alta, los expertos en ciberseguridad detectan un repunte de una amenaza silenciosa que se cuela justo en el momento más vulnerable: cuando un usuario introduce los datos de su tarjeta. No hablamos de páginas fraudulentas, estafas burdas ni correos electrónicos sospechosos, sino de un ataque que se esconde dentro de tiendas completamente legítimas. Su nombre, e-skimming, apenas dice nada al consumidor medio, y quizás ahí reside parte del problema.

La referencia no es casual. Este tipo de ataque imita al skimming tradicional —el robo de tarjetas mediante dispositivos físicos colocados en cajeros automáticos o terminales de pago— pero sin necesidad de tocar nada. El paralelismo es útil porque ayuda a entender la lógica: el objetivo es copiar la información de la tarjeta sin que la víctima lo perciba. La diferencia es que, en su versión digital, el robo se produce sin señales visibles. No aparecen avisos, no se interrumpe la compra, no hay fallos extraños. Todo continúa como si nada mientras, en segundo plano, un código insertado en la tienda va recopilando información sensible.

No renueves tu tarjeta sanitaria por correo: la nueva estafa que suplanta al Ministerio de Sanidad

La Voz

El aviso llega a través del último Informe Anual de Inteligencia sobre Fraude en Pagos elaborado por la compañía de ciberseguridad NordVPN, que detecta un crecimiento preocupante: la actividad de estos robos digitales casi se triplicó entre el 2023 y el 2024, hasta superar los 11.000 comercios electrónicos afectados. Es la cifra más alta registrada hasta ahora, un indicio de que los delincuentes han convertido esta técnica en una vía rentable y difícil de detectar.

«Los ciberdelincuentes implantan fragmentos de código que se ejecutan en silencio en tu navegador y se llevan en tiempo real los números de tarjetas de crédito, nombres, códigos de seguridad, correos electrónicos, fechas de caducidad y otra información confidencial, a veces incluso antes de que termines la compra», explica Marijus Briedis, director tecnológico de NordVPN. En otras palabras: uno puede estar pagando en una tienda fiable, con su candado de seguridad visible, sin imaginar que sus datos están siendo interceptados.

¿Cómo lo hacen?

La pregunta razonable es cómo consiguen infiltrarse en webs consolidadas o en comercios que cumplen todas las normas de seguridad. La respuesta se encuentra en un terreno poco visible para el consumidor: los pequeños fragmentos de software que cargan las páginas de compra. Hoy, prácticamente cualquier tienda utiliza elementos externos para medir visitas, mostrar formularios de pago, realizar pruebas de diseño o gestionar opciones de envío. Estos fragmentos proceden de proveedores distintos y se ejecutan en el navegador del cliente.

Son herramientas legítimas; forman parte del funcionamiento habitual de un comercio digital moderno. Sin embargo, precisamente por su abundancia y por la falta de control directo sobre ellas, se convierten en una puerta de entrada. Basta con que uno de esos proveedores haya sido atacado o que un complemento esté desactualizado para que el código malicioso se cuele en todas las tiendas que dependen de él. Una vez dentro, se mezcla con los demás fragmentos de código, activándose solo en ciertas horas o regiones para pasar desapercibido.

Qué es el «bluesnarfing» y por qué no deberías tener siempre activo el «bluetooth»

La Voz

El recorrido posterior es sorprendentemente veloz. Los datos robados suelen terminar en mercados clandestinos de la llamada «internet oscura», espacios difíciles de rastrear donde se venden por precios muy bajos: alrededor de nueve euros por tarjeta, según investigaciones recientes. A partir de ahí, los estafadores actúan con rapidez: realizan cargos pequeños para probar si la tarjeta sigue activa, hacen compras que luego revenden o utilizan tarjetas regalo para blanquear dinero. En muchos casos todo ocurre en cuestión de horas.

Qué puede hacer el usuario

El consumidor se encuentra, así, ante un escenario incómodo: puede tomar todas las precauciones habituales —comprar en una web fiable, evitar enlaces sospechosos, comprobar la dirección— y aun así quedar expuesto. Por ello, los expertos recomiendan una combinación de prevención y vigilancia.

Estas son algunas pautas que propone NordVPN:

Usar tarjetas virtuales o de un solo uso. Funcionan como un número temporal que permite pagar sin revelar los datos reales de la tarjeta principal. También sirven los servicios de pago que «enmascaran» esa información, como los pagos desde el móvil con sistemas tokenizados (por ejemplo, Apple Pay o Google Pay).
No guardar los datos de pago en las webs, por cómodas que resulten estas funciones. También conviene desactivar el autocompletado del navegador en los formularios.
Instalar herramientas de protección que bloqueen fragmentos de código sospechosos en tiempo real y actúen como filtro.
Revisar extensiones del navegador que uno no recuerde haber instalado o ventanas inesperadas que aparezcan al confirmar la compra.
Comprobar con frecuencia los movimientos bancarios para detectar cargos extraños antes de que se acumulen.