Los ataques más efectivos no siempre son los más ruidosos. A veces, basta con una línea de código cuidadosamente camuflada en el lugar correcto para poner en marcha una campaña masiva de redirecciones maliciosas desde sitios web legitimos a estafas online. Eso es, precisamente, lo que investigadores de Palo Alto Networks han descubierto: una sofisticada operación que comprometió más de 270 sitios web legítimos mediante código JavaScript ofuscado, infectando más de 269.000 páginas entre marzo y abril de 2025.

El arma de los atacantes: una técnica conocida como JSFireTruck, una evolución de antiguos métodos de ofuscación como JJEncode, que emplea solo seis caracteres ASCII para construir código malicioso totalmente funcional y casi indetectable por los sistemas tradicionales.

¿Qué es JSFireTruck y por qué es tan efectivo?

JSFireTruck lleva al extremo el arte de esconder código. En lugar de utilizar funciones o estructuras convencionales, la ocultación se basa únicamente en los caracteres [, ], (, ), ! y +. A simple vista, el código parece una sucesión absurda de símbolos, pero gracias a la forma en que JavaScript gestiona la conversión de tipos (type coercion), estas cadenas aparentemente inofensivas se convierten en instrucciones ejecutables.

Ad

Por ejemplo:

  • +[] → se traduce como 0

  • +!![] → se convierte en 1

  • (![]+[])[+[]] → devuelve la letra 'f'

Con suficiente ingenio, los atacantes ensamblan cadenas completas de texto y funciones con esta técnica, todo sin disparar alarmas en los sistemas de detección basados en firmas o patrones.

Un truco antiguo, reinventado para evitar ser detectado

JSFireTruck no es un invento completamente nuevo, sino una reinvención radical de JJEncode, una técnica nacida en 2009 que utilizaba 18 caracteres. Esta nueva versión no solo reduce la superficie de detección al mínimo, sino que además introduce múltiples capas de codificación —como String.fromCharCode()— para añadir una capa adicional de confusión.

Un ejemplo de una inyección detectada en sitios comprometidos se muestra así:

$=String.fromCharCode(118,61,119,46,104,112,40,39,35,41,49,…);

Este fragmento, en apariencia inofensivo, es solo la puerta de entrada a una estructura más compleja que, al final del proceso, inyecta un iframe invisible sobre la web legítima.

¿Qué ocurre cuando visitas una página infectada?

Aquí es donde el ataque se vuelve realmente peligroso. El código malicioso, una vez descifrado, analiza el origen del tráfico. Si detecta que el usuario ha llegado desde Google, Bing, DuckDuckGo, Yahoo o AOL, activa el mecanismo de redirección.

Lo hace de forma silenciosa y visualmente imperceptible: genera un iframe que cubre toda la ventana del navegador con estas propiedades CSS:

z-index: 30000;
width: 100%;
height: 100%;
position: fixed;
left: 0;
top: 0;

De este modo, el usuario cree estar navegando en la página original, pero en realidad ha sido enviado a un sitio fraudulento que puede mostrar descargas falsas, pedir credenciales o desplegar un ataque de phishing.

Redirecciones a medida del buscador

Un aspecto especialmente importante de esta campaña de redirección de sitios web legítimos a web de estafas online es su precisión: el script no actúa si el visitante llega escribiendo la URL directamente o mediante otros canales. Solo se activa ante tráfico derivado de buscadores. ¿Por qué? Porque los atacantes saben que estos usuarios son más confiados: están haciendo clic en un enlace que parece legítimo, validado por un motor de búsqueda de confianza.

Así, aumentan las probabilidades de éxito y minimizan la detección, ya que los usuarios más técnicos (como los que escriben la URL directamente) probablemente jamás vean el ataque en acción.

Aunque los nombres específicos de los sitios afectados no se han hecho públicos, los investigadores de Palo Alto Networks confirman que se trata de webs legítimas y en activo, comprometidas, sin que sus propietarios lo supieran en ningún momento. La campaña logró funcionar de forma masiva gracias a la automatización del proceso de inyección, aunque aún no se ha determinado cómo los atacantes accedieron a los servidores o CMS vulnerables.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre