Un fallo crítico en el plugin Funnel Builder (FunnelKit) para WordPress, usado para personalizar páginas de pago de WooCommerce, está siendo explotado en libertad para insertar fragmentos de JavaScript malicioso en los checkout y con ello robar datos de pago de clientes. La vulnerabilidad permite, sin autenticación, modificar la configuración global del plugin a través de un endpoint de checkout expuesto públicamente, lo que convierte cualquier tienda que use versiones anteriores a la 3.15.0.3 en un objetivo para skimmers de tarjetas.
Las métricas públicas indican que Funnel Builder está activo en decenas de miles de sitios, por lo que el riesgo es amplio: un atacante puede inyectar código en el ajuste “External Scripts” del plugin y lograr que un script externo se cargue en todas las páginas de pago. Según el análisis técnico publicado por Sansec, los atacantes distribuyen un archivo que se hace pasar por Google Tag Manager/Google Analytics y abre una conexión WebSocket para descargar y ejecutar un skimmer personalizado que recopila números de tarjeta, CVV, direcciones de facturación y otros datos del comprador. Para detalles técnicos y muestras del análisis, puede consultarse el informe original de Sansec en https://sansec.io/research/funnelkit-woocommerce-vulnerability-exploited.
Si gestionas una tienda WooCommerce debes asumir que ésta puede haber sido comprometida si usabas Funnel Builder anterior a la 3.15.0.3. El primer paso inmediato es actualizar el plugin desde el panel de WordPress a la versión corregida (3.15.0.3 o superior). La página oficial del plugin en el repositorio de WordPress contiene información de versiones y permite comprobar instalaciones activas: https://wordpress.org/plugins/funnel-builder/. No pospongas esta actualización: los exploit automatizados suelen propagarse rápido una vez que la vulnerabilidad se hace pública.
Actualizar sola no es suficiente si el atacante ya tuvo tiempo de insertar scripts maliciosos. Revisa la sección Settings > Checkout > External Scripts del plugin en busca de entradas no autorizadas y elimina cualquier URL o código extraño. Además, inspecciona los archivos y las opciones de la base de datos en busca de cambios recientes en la configuración del plugin y en hooks de checkout; los skimmers suelen dejar trazas en las entradas de ajuste o en opciones personalizadas.
Debes también asumir riesgo para los datos de clientes: informa a los responsables de cumplimiento (por ejemplo, el proveedor de pasarela de pago y el equipo de cumplimiento PCI si procede), prepara un comunicado para clientes afectados si se confirma exfiltración y considera forzar la rotación de claves o credenciales relacionadas con pagos. Monitoriza transacciones y patrones de fraude y, si detectas cargos fraudulentos, coordina la respuesta con la pasarela y emisores de tarjetas.
En el plano técnico, activa registros y análisis de tráfico saliente para identificar solicitudes hacia dominios sospechosos (por ejemplo, dominios similares a analytics-reports[.]com o conexiones WebSocket a hosts externos como protect-wss[.]com mencionados en los reportes). Implementa reglas temporales en el WAF para bloquear la carga de scripts desde fuentes externas no autorizadas y aplica controles de integridad en los archivos y en la base de datos para detectar reincidencias. Si no tienes la capacidad interna, contrata a un equipo de respuesta a incidentes con experiencia en e-commerce.
Este incidente es un recordatorio de que los plugins que manipulan el flujo de pago son un vector crítico: la seguridad de una tienda no depende solo del núcleo de WordPress sino de cada extensión que tenga permisos sobre el checkout. Mantén un inventario de plugins, aplica actualizaciones rápidamente, limita privilegios administrativos y audita configuraciones que permitan ejecución de scripts externos. Para mejores prácticas de seguridad en pagos y cumplimiento, consulta las directrices de PCI DSS en https://www.pcisecuritystandards.org/ y recursos de hardening de plataformas WordPress y WooCommerce publicados por proveedores de seguridad especializados.
Si necesitas ayuda práctica para auditar una instalación afectada o para diseñar un plan de remediación y comunicación, considera contactar a especialistas en respuesta a incidentes y a proveedores de limpieza de skimmers que ofrezcan análisis forense de tráfico y recuperación segura de entornos e-commerce.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...