Basado en información de The Hacker News →
Introducción
El pago online ya no es solo un problema de cifrado: ahora es un problema de gobernanza de scripts en el navegador del comprador. Un asesor QSA independiente acaba de ponerle fecha de vencimiento a la excusa de "eso lo maneja el iframe del gateway".
El problema
Según reportó The Hacker News, un asesor QSA (Qualified Security Assessor) sometió a Reflectiz a una prueba contra las nuevas reglas de PCI DSS. El hallazgo central: cuando un cliente ingresa su número de tarjeta en el checkout, el navegador no solo ejecuta el código propio del comercio. Etiquetas de analítica, un tag manager, un widget de soporte, un iframe de pago: en un checkout moderno conviven decenas de scripts de terceros, y cualquiera de ellos puede ser comprometido. La evaluación concluyó que la superficie de ataque que estos scripts representan ahora es un requisito explícito de cumplimiento, no una recomendación opcional.
Consecuencias
El riesgo inmediato es que un script aparentemente legítimo —una herramienta de A/B testing, un chat de atención al cliente, un píxel de remarketing— sea inyectado con código malicioso (skimmer digital) sin que el equipo de seguridad lo detecte. Eso significa que aunque el gateway esté correctamente integrado y el certificado SSL esté vigente, el comercio puede estar filtrando datos de tarjetas sin saberlo, exponiéndose a multas por incumplimiento, pérdida de la capacidad de procesar pagos y daño reputacional irreversible.