Image by Boitumelo, from Unsplash
Los Hackers Apuntan a los Sitios de Caridad de Caritas
Tiempo de lectura: 3 min.
Actualizado por última vez: Apr 28, 2025
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Un ciberataque afectó a 17 sitios web de Cáritas España, una importante organización benéfica católica, comprometiendo los datos de las tarjetas de los donantes durante más de un año sin ser detectado.
¿Con prisa? Aquí están los datos rápidos:
- Los atacantes utilizaron formularios de donación falsos para robar datos de tarjetas de donantes.
- Los sitios utilizaron WooCommerce, un popular plugin de WordPress.
- Más de 60 dominios falsos respaldaron la infraestructura del ataque.
Los atacantes utilizaron un método llamado web skimming, donde se inserta un código malicioso en un sitio web para robar información sensible de los usuarios. En este caso, el skimmer creó un formulario de donación falso que imitaba al real y capturaba silenciosamente datos personales y de pago, incluyendo nombres, direcciones, números de tarjetas, CVV y más.
“Esta campaña refuerza una tendencia más amplia que se ha observado: las infecciones por skimming web están cada vez más impulsadas por kits modulares”, escribieron los investigadores de Jscrambler que detectaron el hackeo escribieron. Estos kits permiten a los hackers mezclar fácilmente diferentes herramientas y canales para entregar y recoger datos robados.
Los investigadores dicen que los sitios web infectados estaban todos potenciados por WooCommerce, un plugin popular para pagos en línea en WordPress. El ataque tenía dos partes: primero, se inyectó una diminuta pieza de código oculto en la página de inicio del sitio para ponerse en contacto con el servidor de los hackers.
Luego, el script de la segunda etapa añadió un falso botón de “Continuar” sobre el real. Una vez que los usuarios lo pulsaban, se les mostraba un formulario de pago online falsificado, diseñado para parecer el portal oficial del banco Santander.
Tras capturar los datos, el formulario mostraba brevemente un indicador de carga antes de redirigir al donante al sitio de pago legítimo, lo que hacía que el engaño fuera más difícil de detectar.
“Es especialmente preocupante teniendo en cuenta el objetivo”, señaló Jscrambler. “Caritas es una organización sin fines de lucro dedicada a ayudar a las comunidades vulnerables. Aun así, los atacantes estaban contentos de mantener su operación de desvío […] durante más de un año”.
La infección se descubrió por primera vez el 16 de marzo de 2025, y los sitios web afectados finalmente fueron sacados de línea para su mantenimiento a principios de abril después de que Jscrambler se pusiera en contacto.
Para el 11 de abril, finalmente se eliminó el código malicioso. Sin embargo, mientras tanto, los hackers habían cambiado de táctica, modificando el script para evitar ser detectados.
Los investigadores también encontraron indicios de que este grupo había atacado otros sitios web, utilizando más de 60 dominios falsos para distribuir y recopilar datos. Muchos de estos se alojaban bajo la misma dirección IP, lo que apunta a una configuración centralizada. Jscrambler informa que Caritas no ha emitido un comunicado oficial sobre la violación de seguridad.
Artículo anterior
Artículos más recientes 
