Malvertising, cuando los anuncios son una trampa
Tabla de contenidos
El malvertising es una técnica maliciosa que consiste en el uso de anuncios falsos en buscadores y redes sociales para desplegar malware
¿Cuáles son los productos o servicios que desean adquirir los ciudadanos? ¿Qué buscan las personas en Google, Bing o Yahoo? ¿Qué anuncios pueden seducir a los usuarios de redes sociales como Instagram, TikTok o Youtube? Estas preguntas legítimas que se hacen todas las empresas que desean comercializar sus productos a través de las redes sociales o mediante publicidad en buscadores (SEM), suponen, también, el punto de partida de los ciberdelincuentes que llevan a cabo ataques de malvertising.
Al igual que muchas otras técnicas, el malvertising combina tácticas de ingeniería social con el uso de diversos tipos de malware. En este sentido, su nombre ya nos sugiere su funcionamiento: los actores maliciosos recurren a la publicidad (advertising) en redes sociales y motores de búsqueda para lograr que ciudadanos y empresas se descarguen un programa o un archivo infectado con malware.
¿Cuáles son los objetivos de los actores maliciosos? Obtener información para cometer otros ataques, acceder a múltiples tipos de cuentas personales o profesionales, secuestrar datos privados para comercializarlos, realizar fraudes financieros, drenar carteras de criptomonedas, tomar el control de los equipos infectados…
El malvertising es una técnica con un enorme potencial para los delincuentes porque los anuncios publicitarios en Facebook, Instagram o Google se han convertido en una constante de nuestro día a día y en una vía de comercialización de productos y servicios que emplean millones de empresas. Por ello, es factible que un ciudadano pueda ser engañado por un actor malicioso si tanto el anuncio como la página a la que este conduce ofrecen una apariencia de legitimidad.
A continuación, vamos a explorar las claves del malvertising y a detenernos en qué pueden hacer las empresas y los ciudadanos frente a esta técnica maliciosa.
1. Explotar los deseos de las personas y definir con precisión los targets
Aunque pueda parecer baladí, un aspecto crítico del malvertising es la elección de la empresa y del servicio o producto cuya identidad se va a suplantar. Al fin y al cabo, si el producto anunciado no genera ningún interés en los usuarios, nadie hará clic en el anuncio malicioso.
Por ejemplo, a principios de abril de 2024, se dio a conocer la existencia de varias campañas de malvertising que anunciaban en Facebook los servicios de algunas de las IA generativas más conocidas del mundo como ChatGPT, DALL-E, SORA o Midjourney. ¿Cómo seducían a sus víctimas? Ofreciéndoles la posibilidad de probar nuevas actualizaciones de los sistemas de IA de manera anticipada. Sin embargo, detrás de estos anuncios se escondían diversos info-stealers que permitían a los delincuentes robar datos de los navegadores de los usuarios:
- Credenciales de acceso a diversas plataformas y software.
- Cookies.
- Los datos de tarjetas de crédito o de carteras de criptomonedas.
Además de recurrir a productos y servicios con una alta demanda social, debemos tener en cuenta otra ventaja del malvertising. Los actores maliciosos pueden decidir qué personas van a visualizar sus anuncios maliciosos. ¿Por qué? Como resulta lógico, las herramientas para crear anuncios como Facebook Ads o Google Ads permiten a las empresas segmentar la audiencia de sus anuncios para que se muestren solo a sus públicos objetivos, definiendo aspectos como el género, la edad, el lugar en el que viven, etc.
Desde el punto de vista de los actores hostiles, esto supone una gran ventaja a la hora de afinar bien a sus víctimas potenciales y, además, les permite reducir el dinero que tienen que invertir en anuncios para lograr clics.
2. Secuestrar perfiles en redes sociales y suplantar a empresas
El caso que señalamos antes nos muestra otra de las claves del malvertising, sobre todo, en lo relativo a las plataformas de redes sociales: los perfiles desde los que se crean los anuncios falsos.
Los profesionales de ciberinteligencia han detectado en los últimos años un fenómeno que ha ido ganando protagonismo: el hackeo de cuentas en redes sociales. Uno de los fines de los delincuentes que realizan esta actividad es robar perfiles de personas y empresas reales para transformarlos y suplantar la identidad de otras compañías. Precisamente, esto es lo que hicieron los delincuentes del caso anterior.
De tal manera que secuestraron perfiles de Facebook privados y suplantaron la identidad de compañías de sistemas de IA compartiendo fotografías e información para que las páginas pareciesen legítimas y no levantasen las suspicacias ni de la red social ni de los usuarios que visualizaban los anuncios.
En otro caso reciente, los actores hostiles lanzaron una campaña de malvertising a través de Youtube, ofreciendo NFTs que no existen y descuentos falsos en criptomonedas, ¿con qué fin? Redirigirlos a un entramado de 1.700 sitios de WordPress infectados con crypto drainers para hacerse con sus criptoactivos.
Entra en juego, por lo tanto, un elemento fundamental de la mayoría de las campañas de phishing: la creación de páginas webs falsas, pero con una apariencia muy realista a las que se dirigen a las víctimas desde los anuncios. Estas páginas son esenciales en el malvertising porque deben generar la suficiente confianza en la víctima como para que esté dispuesta a introducir datos personales o descargar programas y archivos.
3. Diversos tipos de malware y ataques cada vez más complejos
Hasta ahora hemos puesto el foco sobre las tácticas de ingeniería social que emplean los delincuentes y que les permiten encontrar un vector de ataque. Una vez que el engaño se lleva a cabo con éxito, entra en juego el malware.
Cuanto más sofisticado sea el programa malicioso que se usa para infectar el dispositivo de una víctima, más difícil resultará su detección.
Por eso, los grupos delictivos más avanzados diseñan continuamente nuevos malware e innovan sus técnicas, tácticas y procedimientos (TTPs). Por ejemplo, a finales de 2023, BlackCat, uno de los grupos de ciberdelincuentes más célebres a nivel global puso en marcha una campaña de malvertising a través de Google Ads. Para ello, diseñó unos anuncios falsos que ofrecían software de índole profesional y empresarial. De tal manera que algunos trabajadores de compañías mordieron el anzuelo, descargaron un malware y facilitaron el acceso de BlackCat a los sistemas corporativos.
Gracias a ello, BlackCat pudo infectar la infraestructura informática de múltiples empresas empleando, primero, un malware de acceso inicial capaz de ocultarse y pasar desapercibido, y luego, un ransomware para robarles sus datos y exigir un rescate a cambio de devolvérselos.
4. ¿Quién puede realizar un ataque de malvertising?
Como venimos de señalar, los ataques de malvertising pueden alcanzar un alto nivel de sofisticación, consumir una gran cantidad de recursos económicos y requerir meses de trabajo hasta que los delincuentes puedan cumplir con sus objetivos maliciosos y lograr monetizar los ataques.
¿Quiere decir esto que solo los grupos delictivos con mayores recursos, conocimientos y experiencia pueden poner en marcha campañas de malvertising? Por desgracia no. La expansión de los modelos de Phishing-as-a-Service y Malware-as-a-Service han provocado que miles de pequeños delincuentes puedan lanzar ataques sofisticados en los que se empleen tanto ingeniería social como malware y esto incluye a los ataques de malvertising.
A ello debemos sumar que el creciente perfeccionamiento de las IAs generativas puede ayudar a los actores maliciosos a desarrollar páginas fraudulentas, generar imágenes, textos y videos falsos o, incluso, desarrollar código.
5. ¿Cómo se pueden prevenir los ataques de malvertising?
Pasemos de los atacantes a las empresas y ciudadanos que se ven afectados por el malvertising:
- Las compañías propietarias de redes sociales y motores de búsqueda.
- Las empresas cuya identidad es suplantada para cometer fraudes.
- Las víctimas directas de los ataques de malvertising, que pueden ser ciudadanos o profesionales que trabajan en empresas y que son el auténtico objetivo de los delincuentes.
5.1. Redes sociales y motores de búsqueda
En lo relativo a los motores de búsqueda y las plataformas de redes sociales es crítico que refuercen sus protocolos de seguridad para evitar que los actores maliciosos puedan tomar el control de páginas de usuarios reales y crear anuncios fraudulentos. Asimismo, deben disponer de servicios de ciberinteligencia integrales que ayuden a prevenir los fraudes en sus plataformas.
Asimismo, los servicios de Threat Hunting también pueden ser cruciales a la hora de descubrir y comprender las TTPs más innovadoras de los grupos delictivos y adoptar un enfoque proactivo en la lucha contra los fraudes.
De lo contrario, verán dañada su credibilidad hasta el punto de que los usuarios dejen de confiar en los anuncios, lo que supondría una crisis de gran envergadura en sus modelos de negocio, puesto que los anuncios suponen una de sus principales fuentes de ingresos.
5.2. Empresas suplantadas
Para las compañías cuya identidad es suplantada con fines delictivos el malvertising también supone un gran problema porque no solo daña su imagen de marca, sino que también puede empujar a los usuarios a no hacer clic en los anuncios legítimos que ofrecen en redes sociales y motores de búsqueda. Esto es absolutamente crítico para las empresas que apuestan decididamente por el SEM y las redes sociales para captar leads y generar ventas digitales.
Por eso, es fundamental que las organizaciones cuenten con expertos en ciberinteligencia que les presten servicios de prevención del fraude y de lucha contra la piratería online. Gracias a estos servicios es posible detectar campañas de ingeniería social que suplanten la identidad de las empresas, así como la difusión de productos y servicios falsos.
5.3. Personas y organizaciones que se ven afectadas por las campañas de malvertising
Los ciudadanos individuales pueden evitar ser víctimas del malvertising actuando con precaución y sentido común. Además, existen indicios que permiten a las personas desconfiar. Por ejemplo, que una página web a la que redirige un anuncio presente una URL extraña, que no sea coherente con en entramado de webs de la compañía anunciante.
Más allá de esto, es fundamental que las empresas tengan en cuenta que sus profesionales pueden ser víctimas del malvertising a la hora de diseñar sus estrategias de ciberseguridad. Asimismo, tienen a su disposición diversos servicios de ciberseguridad que pueden ser claves para prevenir los ataques de malvertising y, en caso de que se produzcan, detectar la presencia de malware y responder ante las actuaciones maliciosas de una forma rápida y eficaz:
- Test de ingeniería social que contemplen expresamente campañas de malvertising para evaluar cómo responde la organización y medir el nivel de formación de sus profesionales con el objetivo de incrementarlo y concienciarlos.
- Servicios de Red Team para comprobar la resiliencia de una empresa ante los ataques de malvertising, diseñando escenarios específicos y contribuyendo a mejorar las capacidades defensivas ante la ingeniería social y el despliegue de malware.
- Servicios de respuesta a incidentes. Si un trabajador descarga un malware y este infecta equipos y sistemas corporativos, es fundamental contar con un equipo de respuesta a incidentes para identificar la amenaza, contener el ataque y expulsar al actor malicioso antes de que cause graves daños.
En definitiva, el malvertising es una práctica fraudulenta que puede causar grandes daños a las plataformas de redes sociales, a los buscadores web y a miles de compañías y empresas, sin importar su tamaño. Por eso, es fundamental tener en cuenta esta técnica que combina ingeniería social y malware para obtener información confidencial y cometer fraudes y estafas contra empresas y ciudadanos.
Este artículo forma parte de una serie de articulos sobre Ingeniería social
- Guía práctica para entender los ataques de ingeniería social
- Consejos para evitar ser víctima del fraude del CEO y otros intentos de suplantación
- Phishing as a Service: Kits para robar dinero y datos a empresas
- Malvertising, cuando los anuncios son una trampa
- ¿Qué es el envenenamiento SEO?
- Ataque de caza de ballenas, cuando los delincuentes se creen el capitán Ahab
- La estafa del código QR y el quishing: ¡Ojo con lo que escaneas!
- Ofertas de trabajo fake. Cuando una oportunidad laboral se torna en pesadilla
- Fraudes de Clickbait: La curiosidad estafó al gato