Detección de Magecart skimmers en 2026: qué cambió tras el Grupo 12
Los card-skimmers modernos ya no se encuentran en etiquetas <script> obvias. Así los detectamos en service workers, WASM blobs y chunks importados de forma diferida.
Durante gran parte de la última década, detectar Magecart era un ejercicio de coincidencia de cadenas. Encontrabas un <script> inline que hacía POST a un dominio .top recién registrado, lanzabas la alerta y asunto concluido.
Los equipos cambiaron de métodos. Desde finales de 2024, el modelo dominante que vemos en nuestro pipeline es un skimmer de página de pago registrado dentro de un service worker, alimentado mediante un wrapper analytics.js de apariencia inocente y activado solo después de que una comprobación de fingerprint confirme que el visitante no es un headless browser.
Para atrapar este tipo, nuestro crawler arranca un Chromium completamente instrumentado con hooks para service workers, ejecuta un checkout sintético y registra cada iniciador de fetch en el árbol de páginas resultante. El skimmer se activa exactamente una vez por cada sesión de apariencia real — y lo vemos porque nosotros también parecemos una sesión real.
Si gestionas una tienda de e-commerce, la conclusión práctica es esta: los WAF basados en firmas no pueden detectar esto. Necesitas monitoreo de ejecución en el navegador capaz de superar las comprobaciones anti-análisis del atacante.