Aquel anuncio de tostadoras en el que pinchaste pudo haberte vaciado la cuenta bancaria
El 'malvertising' es una práctica delictiva que está creciendo a pasos agigantados y consiste en utilizar lo que parece publicidad normal y corriente en internet para infectar los ordenadores de los usuarios sin que se enteren
Una persona compra con su teléfono móvil y ordenador. (Europa Press/Alberto Ortega)
Hace unos días, la Guardia Civil arrestaba en la localidad malagueña de Estepona al líder de una red internacional de ciberdelincuentes, acusado de ser el creador y administrador de Ransom Cartel. Él y su banda, mediante la instalación de malware en los dispositivos de las víctimas, consiguió "secuestrar" los ordenadores de miles de personas para robar alrededor de 34 millones de euros sin que nadie se enterase. Parte de sus fechorías las hizo mediante un método conocido en el mundo de la ciberseguridad como malvertising. O cómo un anuncio de tostadoras puede llegar a desvalijar las cuentas de cientos de personas en España.
Pongamos que te encuentras navegando por internet en una página web que normalmente visitas y de repente aparece en un lado de la pantalla un anuncio de un coche Mazda, una aspiradora o una promoción de viaje al Algarve. Al pinchar en el anuncio, un malware es descargado en el ordenador sin que te enteres. Al cabo de unas horas, una red de ciberdelincuentes se han hecho con el control de algunas de las funciones de tu equipo inyectando código malicioso y espían mientras accedes a cualquier página. Finalmente, consiguen la información de tu cuenta bancaria y la vacían.
Los anuncios y la publicidad online son un tipo de delincuencia que crece a pasos agigantados. También la puerta de entrada para los hackers. Es lo que se conoce como malvertising, una práctica que consiste en utilizar lo que parece publicidad normal y corriente en internet para infectar los ordenadores de los usuarios sin que se enteren. De esta manera, pueden robar datos confidenciales. Ese banner anunciando una piscina hinchable para tu chalet, una promoción de pisos en Majadahonda o incluso el último tráiler de la serie La Casa del Dragón, cualquier cosa les vale para dejar tu cuenta bancaria temblando.
La Guardia Civil detiene, en el marco de la operación 'Seacatch-Weighhouse’, al líder de una red internacional de 'ransomware' y 'malvertising'. (Guardia Civil)
¿Cuáles son los productos o servicios que la gente quiere comprar? ¿Qué busca la gente en Google, YouTube o TikTok? Estas eran las preguntas que se hacían todos los días las empresas anunciantes para comercializar productos. Ahora son también las que se hacen los ciberdelincuentes para robar datos. “Una de las ventajas de esta técnica es que se pide muy poco de nuestra parte. De hecho, se puede acceder a nuestros equipos de una manera totalmente pasiva, sin que nosotros hagamos nada. Antes, colaban algunos tipos de adware cuando instalábamos un programa aprovechándose de nuestro descuido. Ahora, el usuario se ha puesto las pilas a la hora de detectar esos programas camuflados, así que los malos también han empezado a emplear técnicas mejoradas”, explica a El Confidencial Eva López, experta en seguridad conductual de S2 Grupo.
López hace hincapié en que cuando el usuario accede a uno de los anuncios, instala software malicioso sin ser consciente de ello, sin darse cuenta: “No aparece ninguna ventana rara, no vemos ningún archivo misterioso en el sistema. Directamente, no lo vemos venir”.
Normalmente, lo que hace el hacker es instalar un pequeño fragmento de código que envía su ordenador a servidores de mando y control (C&C) delictivos. El servidor escanea su ordenador para determinar su ubicación y el software que tiene instalado, y después elige el virus que considera más eficaz para enviárselo. En algunos casos, ni siquiera es necesario hacer clic en el anuncio para desencadenarlo. Basta con cargar la página web que aloja el anuncio para redirigirle a una página de aterrizaje, que aprovecha cualquier vulnerabilidad de su navegador o agujero en la seguridad de su equipo para acceder.
También pueden dejar puertas traseras abiertas para que los ladrones entren y roben los datos después. De hecho, uno de los métodos más usados es instalar programas espía en el sistema (keyloggers) que permiten registrar tu información de inicio de sesión para todo, desde el mail hasta la cuenta bancaria. Luego, pueden enviar esa información a un pirata informático para que la venda o usarla para robar.
Un usuario navega en su ordenador. (Pexels)
El equipo de expertos de la compañía de ciberseguridad S2 Grupo detalla a este diario que el malversiting puede ir camuflado en diferentes “recipientes” gráficos: esteganografía (oculta código malicioso en imágenes o textos), las imágenes políglotas (imágenes que parecen normales, pero contienen malware y además lo ejecutan), el scareware (anuncios falsos que indican que el dispositivo está infectado y generan temor en el usuario), anuncios que ofrecen falsas actualizaciones, y estafas de soporte técnico (hacen creer de nuevo que el dispositivo está infectado y dan un contacto falso de soporte para solucionarlo).
“Cualquier anuncio que veamos que es demasiado bonito, demasiado bueno o demasiado urgente. Por ejemplo, que “en los próximos 10 minutos puedes comprar un coche a mitad de precio” o que “te ha tocado un iPhone en un sorteo”. Nadie da duros a cuatro pesetas. Un caso reciente que detectamos era el de un anuncio gafas de sol de una página que las vendía por 20 euros, cuando en realidad valían 200. Claro está, era malvertising. Hay que saber dónde clicar si sospechamos de que algo es demasiado bueno para ser cierto”, señala López.
Y claro, ahí el precio de los productos (o su gratuidad) influye mucho. Por ejemplo, en abril de este año, se dieron a conocer varias campañas de malvertising en Facebook que anunciaban los servicios de algunas de las IA generativas más conocidas (ChatGPT, DALL-E, y Midjourney) gratis. Eran anuncios falsos. Un año antes, en 2023, BlackCat, uno de los grupos cibercriminales más famosos del mundo, lanzó una campaña de malvertising utilizando Google Ads. Para ello, diseñó anuncios falsos ofreciendo productos empresariales. Miles de empleados mordieron el anzuelo y proporcionaron a BlackCat acceso a los sistemas corporativos.
Surge la pregunta de qué papel juega Google en todo esto, sobre todo porque Google Ads permite a quien paga los servicios segmentar la audiencia de sus anuncios para que se muestren únicamente a su público objetivo, definiendo aspectos como género, edad, lugar, etc. De esta manera, un hacker podría dirigir sus ataques a un target determinado. En el pasado hemos visto casos de malvertising que se presentaba como simples resultados de búsqueda promocionados de Google, lo que hacía que fuera muy difícil de distinguir. Cuando navegamos por el buscador, no esperamos que el primer resultado vaya a ser una trampa.
Un hombre utiliza su portátil y su teléfono móvil. (Unsplash)
Es lo que llevan tiempo avisando los expertos en ciberseguridad de Malwarebytes, que recientemente comprobaron que el anunciante responsable de una campaña publicitaria de AnyDesk no era la empresa, sino una identidad falsa llamada "Manca Marina". Aunque la URL que aparecía bajo el resultado era la real, la URL a la que llevaba ese anuncio era otra muy distinta que copiaba el diseño del sitio web oficial. Malwarebytes asegura que los ciberdelincuentes han logrado superar los controles de seguridad de Google repetidamente.
Hasta 1.000 millones de anuncios para robar información
En realidad no es algo nuevo. El primer ataque registrado de malvertising se produjo en 2007 y explotaba una vulnerabilidad en Adobe Flash, atacando varias plataformas populares, entre ellas MySpace. En 2009, The New York Times fue presa la publicidad maliciosa y los lectores empezaron a ver anuncios que les decían que sus sistemas estaban corruptos, lo que era una estratagema para inducirlos a instalar “software de seguridad”. En 2011, le sucedió lo mismo a Spotify. Pero el ataque más notable fue el realizado por Zirconium, un grupo de hackers chinos que perpetró mayor campaña de malvertisingcomprando 1.000 millones de anuncios y diseñándolos con redirecciones forzadas que llevaban a los usuarios a sitios web que alojaban esquemas fraudulentos o malware. Los analistas creen que esta única campaña estuvo presente en el 62% de los sitios web monetizados por anuncios.
¿Cómo prevenirlo? La experta en seguridad conductual recomienda instalar bloqueadores de anuncios en el navegador, utilizar un antivirus y mantenerlo siempre actualizado, desactivar cualquier complemento innecesario del navegador, actualizar los dispositivos, descargar sólo software de las páginas oficiales, reforzar las configuraciones de privacidad y utilizar sólo navegadores seguros.
"La gente muchas veces piensa de forma ingenua cosas como ‘quién me va a atacar a mí?’. Pero no entienden que el objetivo siempre es el mismo: información o dinero. Y lo primero casi siempre acaba traduciéndose en lo segundo", añade López. En el mercado negro se están vendiendo ahora mismo contraseñas, datos del DNI, o números de tarjetas de crédito. Toda esa información tiene un alto valor. Y la realidad es que la puerta de entrada a esos datos pudo ser un simple anuncio de tostadoras.
Hace unos días, la Guardia Civil arrestaba en la localidad malagueña de Estepona al líder de una red internacional de ciberdelincuentes, acusado de ser el creador y administrador de Ransom Cartel. Él y su banda, mediante la instalación de malware en los dispositivos de las víctimas, consiguió "secuestrar" los ordenadores de miles de personas para robar alrededor de 34 millones de euros sin que nadie se enterase. Parte de sus fechorías las hizo mediante un método conocido en el mundo de la ciberseguridad como malvertising. O cómo un anuncio de tostadoras puede llegar a desvalijar las cuentas de cientos de personas en España.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fb4b%2F469%2F01a%2Fb4b46901ae688ddeae4356cc0e38a0bf.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F42a%2F480%2F36c%2F42a48036cb7603d7df1d33226f247f1c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F42a%2F480%2F36c%2F42a48036cb7603d7df1d33226f247f1c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F1de%2F281%2Fe17%2F1de281e17bbaf087a5773736d2503b9c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F350%2Faf6%2F5f0%2F350af65f0b5b6d9c720321362af31a76.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F350%2Faf6%2F5f0%2F350af65f0b5b6d9c720321362af31a76.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6de%2Fef5%2F80e%2F6deef580e5b151dffc9e34cf212813db.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc22%2F047%2F2dc%2Fc220472dc42edeab89780c3f4ddb7a72.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc22%2F047%2F2dc%2Fc220472dc42edeab89780c3f4ddb7a72.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F0af%2F6b2%2F7f9%2F0af6b27f99c28a8924a9bc3763a025ae.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6c0%2F144%2F5de%2F6c01445de39ff445663e000513c2492f.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F127%2F843%2Ff11%2F127843f11374299a75baa4d93676055e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F8f5%2F517%2F67c%2F8f551767c35923e1eec05a9b602e1cd6.jpg)