Los investigadores de ciberseguridad están advirtiendo a la gente sobre un preocupante aumento de la “publicidad maliciosa”: el uso de anuncios en línea para implementar malware, estafas de phishing y otros ataques.
Un informe de Malwarebytes encontró que los incidentes de publicidad maliciosa en los EE. UU. aumentaron un 42% el otoño pasado.
¿El objetivo principal? Usuarios desprevenidos que realizan búsquedas en Google.
Jérôme Segura, director senior de investigación de Malwarebytes, advierte:
“Lo que estoy viendo es sólo la punta del iceberg. Los piratas informáticos son cada vez más inteligentes y los anuncios suelen ser tan realistas que es fácil dejarse engañar”.
Promociones pagadas envenenadas
Los esquemas frecuentemente implican que los ciberdelincuentes compren anuncios patrocinados de apariencia legítima que aparecen en la parte superior de los resultados de búsqueda de Google.
Hacer clic en ellos puede generar descargas no autorizadas de malware o páginas de phishing de credenciales que falsifican marcas importantes como Lowe’s y Slack.
Segura explicó sobre un reciente ataque de phishing al portal de empleados de Lowe’s:
“Ves la marca, incluso el logo oficial, y te basta con pensar que es real”.
Socavando la confianza del usuario
Parte de lo que hace que estos ataques de publicidad maliciosa sean tan volátiles es que secuestran y socavan la confianza de los usuarios en Google como fuente de búsqueda autorizada.
Stuart Madnick, profesor de tecnología de la información en el MIT, señala:
«Cuando ves algo que aparece en una búsqueda de Google, asumes que es algo válido».
Las amenazas tampoco terminan con promociones envenenadas. Los anuncios maliciosos también pueden colarse en sitios web confiables.
Protección contra la publicidad maliciosa: para los usuarios
Los expertos recomiendan varias precauciones para reducir el riesgo de publicidad maliciosa, entre ellas:
- Examine cuidadosamente los anuncios de búsqueda antes de realizar cualquier acción.
- Mantener actualizados los sistemas operativos y navegadores de los dispositivos
- Usar extensiones de navegador que bloqueen anuncios
- Informar anuncios sospechosos a Google para su investigación
Madnick advirtió:
«Debes asumir que esto te puede pasar a ti sin importar cuán cuidadoso seas».
Mantenerse alerta contra los exploits de publicidad maliciosa será más crítico a medida que los ciberatacantes desarrollen sus tácticas engañosas.
Protección contra la publicidad maliciosa: para sitios web
Si bien los usuarios individuales deben permanecer alerta, los sitios web también son responsables de implementar medidas de seguridad para evitar que se muestren anuncios maliciosos en sus plataformas.
Algunas mejores prácticas incluyen:
Servicios de verificación de anuncios
Muchos sitios web dependen de servicios de verificación de anuncios de terceros y herramientas de escaneo de malware para monitorear los anuncios que se publican y bloquear los identificados como maliciosos antes de que lleguen a los usuarios finales.
Incluir fuentes publicitarias en la lista blanca
En lugar de aceptar anuncios a través de intercambios publicitarios de licitación abiertos en tiempo real, los sitios web solo pueden incluir en la lista blanca fuentes y redes publicitarias confiables y minuciosamente examinadas.
Proceso de revisión
Para obtener una capa adicional de protección, los sitios web pueden implementar un proceso de revisión humana además del escaneo automatizado de malware para analizar manualmente los anuncios antes de entregárselos a los visitantes.
Monitoreo continuo
Los anunciantes maliciosos actualizan constantemente sus técnicas, por lo que los sitios web deben monitorear los datos de su tráfico publicitario en busca de anomalías o patrones sospechosos que puedan indicar una campaña maliciosa.
Al implementar medidas de seguridad publicitaria de múltiples capas, los sitios web pueden evitar participar sin saberlo en esquemas de publicidad maliciosa que ponen en riesgo a sus visitantes y al mismo tiempo protegen la reputación de su marca.
Imagen de portada: Bits y divisiones/Shutterstock
