Un fallo crítico en el plugin Funnel Builder (FunnelKit) para WordPress está siendo explotado en entornos reales para inyectar JavaScript malicioso en las páginas de pago de WooCommerce y robar datos de tarjeta y facturación, según el análisis publicado esta semana por la firma de seguridad Sansec. El defecto afecta a todas las versiones anteriores a la 3.15.0.3 y su explotación permite a actores no autenticados añadir código arbitrario que se ejecuta en cada checkout, lo que convierte cualquier tienda vulnerable en un objetivo directo para skimmers de pago.
La técnica descrita por los investigadores aprovecha un endpoint público orientado al checkout que, en versiones antiguas, no verificaba permisos ni limitaba qué métodos internos podían invocarse. Mediante una solicitud no autenticada un atacante puede forzar la escritura de datos controlados por el atacante en los ajustes globales del plugin y así insertar etiquetas de script en la opción que Funnel Builder utiliza para “External Scripts”. En los incidentes observados el payload se hace pasar por un Google Tag Manager/Analytics y termina cargando un loader remoto que abre una conexión WebSocket al servidor de mando y control para descargar un skimmer específico para la tienda comprometida.
La consecuencia práctica es grave: el código malicioso se ejecuta en el flujo de pago y puede capturar números de tarjeta, CVV, direcciones de facturación y otros datos sensibles que los clientes introducen en el formulario de checkout. Esto no sólo supone un fraude directo, sino riesgo de sanciones por incumplimiento de PCI y un daño reputacional que puede perdurar.
FunnelKit ha publicado ya un parche en la versión 3.15.0.3. Si administras una tienda WooCommerce debes actualizar inmediata y prioritariamente ese plugin a la versión parcheada. Además de la actualización, conviene comprobar el ajuste Settings > Checkout > External Scripts y eliminar cualquier script desconocido o sospechoso. Sansec y otros equipos de respuesta señalan que los skimmers suelen camuflarse como etiquetas de seguimiento legítimas, por lo que es fácil pasar por alto el riesgo durante auditorías superficiales.
Además de actualizar y revisar la configuración, hay medidas prácticas que reducen el impacto y ayudan a la remediación. Realiza un escaneo completo del sitio con soluciones de seguridad de confianza o servicios externos para detectar cargas maliciosas y puertas traseras; revisa la base de datos —por ejemplo, buscando valores en wp_options que contengan etiquetas <script> o dominios desconocidos—; inspecciona la salida del checkout desde el navegador y las herramientas de red para detectar conexiones WebSocket o llamadas a dominios externos sospechosos; y restablece contraseñas administrativas y claves API si encuentras indicios de compromiso.
Si ya sospechas que hubo exfiltración de datos, documenta la ventana temporal del posible compromiso, conserva logs, contacta con tu proveedor de pagos y valora comunicar el incidente según las obligaciones legales aplicables. Para reducir la probabilidad de futuras intrusiones es recomendable limitar los plugins instalados a los estrictamente necesarios, mantener actualizaciones automáticas donde sea seguro aplicarlas, y reforzar la web con un WAF y un sistema de monitoreo continuo que detecte cambios en la integridad de archivos y en la salida HTML del checkout.
Este caso encaja en una tendencia más amplia: campañas recientes han mostrado cómo atacantes insertan carga útil dinámica y loaders remotos en CMS y tiendas para cambiar el comportamiento de los sitios comprometidos sin tocar de forma permanente los archivos locales, una técnica que Sucuri y otras firmas vienen documentando en contextos como campañas contra Joomla y otros ecosistemas. La táctica de disfrazar skimmers como Google Tag Manager o Google Analytics es recurrente y efectiva por su capacidad de pasar desapercibida.
Para leer el análisis técnico y las indicaciones originales consulta las fuentes de seguridad especializadas; la investigación de Sansec ofrece detalles técnicos sobre la explotación, y los informes de respuesta de incidentes como los de Sucuri ayudan a entender patrones similares en otros CMS. Sansec y Sucuri son buenos puntos de partida para información y recomendaciones operativas. Si necesitas instrucciones generales sobre cómo mantener WordPress y sus plugins actualizados, la documentación oficial de WordPress también es útil: Administración de plugins en WordPress.
Resumen práctico: actualiza Funnel Builder a la versión 3.15.0.3 o superior, revisa y limpia la opción External Scripts en Checkout, escanea e investiga indicadores de compromiso (scripts inusuales, conexiones WebSocket a dominios desconocidos, entradas sospechosas en wp_options), rota credenciales sensibles y coordina con tu procesador de pagos si hay señales de exfiltración. La prevención y la detección temprana son la mejor defensa contra este tipo de skimmers dirigidos a tiendas online.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...