Malvertising

Con el aumento extraordinario en el acceso y uso de Internet en la última década, es más fácil que nunca para las empresas llegar a una audiencia de millones de usuarios con anuncios de sus productos y servicios.

Para monetizar esta oportunidad y ayudar a mantener los sitios web «gratuitos», las redes publicitarias ofrecen miles de anuncios a los sitios web en función de sus datos demográficos. Si bien estos anuncios son normalmente inofensivos, los actores maliciosos han encontrado métodos para apuntar a las redes publicitarias y enviar anuncios incrustados con código malicioso.

Debido a las técnicas y las consecuencias de esta «publicidad maliciosa», esta forma de entrega de malware ofrece un conjunto único de desafíos para los sitios web, las redes publicitarias y los usuarios finales, y merece una consideración especial.

La publicidad maliciosa afecta a los usuarios al servir malware en sitios acreditados a través de contenido publicitario.

Aquí vamos a ofrecer unas nociones básicas sobre lo que es el malvertising o publicidad maliciosa, sus efectos y cómo protegernos frente a ella.

Malvertising, ¿qué es?

Malvertising, o publicidad maliciosa, es el término con el que nos referimos a anuncios controlados criminalmente dentro de programas conectados a Internet, generalmente navegadores web, que dañan intencionalmente a personas y empresas con todo tipo de malware, programas potencialmente no deseados y estafas variadas.

En otras palabras, la publicidad maliciosa utiliza lo que parece publicidad legítima en línea para distribuir malware y otras amenazas con poca o ninguna interacción del usuario.

La publicidad maliciosa puede aparecer en cualquier anuncio en cualquier sitio, incluso los que visitas como parte de tu navegación diaria por Internet. Por lo general, la publicidad maliciosa instala un pequeño código, que envía tu ordenador a los servidores de comando y control criminal. El servidor escanea el ordenador en busca de su ubicación y qué software está instalado en ella, y luego elige qué malware determina que es más efectivo para enviarle.

Funcionamiento

La publicidad maliciosa aprovecha los mismos métodos que distribuyen la publicidad en línea normal. Los estafadores envían anuncios gráficos o de texto infectados (ambos funcionan siempre que usen JavaScript ) a redes publicitarias legítimas, que a menudo no pueden distinguir los anuncios dañinos de los confiables.

A pesar del código malicioso, la publicidad maliciosa adquiere la apariencia de anuncios cotidianos como ventanas emergentes (aludiendo a temas como actualizaciones falsas del navegador, utilidades gratuitas, programas antivirus, etc.), anuncios pagados, anuncios publicitarios y más. Los delincuentes maliciosos confían en dos métodos principales para infectar tu ordenador.

  1. Anuncio que presenta algún tipo de incentivo provocativo para que hagas clic en él. El señuelo puede venir en forma de una «alerta», como una advertencia de que ya sufres de una infección de malware. O podría ser una oferta de un programa gratuito. Dichas tácticas utilizan la ingeniería social para asustarlo o tentarlo a hacer clic en un enlace. Déjate llevar por esa tentación y estarás infectado.
  2. Descarga drive-by (este método es aún más nefasto). Aquí, el anuncio infectado realiza su trabajo usando un componente invisible de la página web. Ni siquiera necesita hacer clic en el anuncio para activar la actividad maliciosa. Simplemente cargando la página web que aloja el anuncio (o un correo electrónico no deseado o una ventana emergente maliciosa) te redirige a una página de inicio de explotación, que aprovecha las vulnerabilidades en tu navegador o agujeros en la seguridad de tu software para acceder a tu máquina.

Historia de la publicidad maliciosa

Según Wikipedia, el primer ataque de publicidad maliciosa registrado se produjo a finales de 2007 o principios de 2008. La amenaza explotó una vulnerabilidad en Adobe Flash, atacando una serie de plataformas populares, incluido MySpace. También fue la última vez que alguien mencionó MySpace.

En 2009, la revista online The New York Times fue víctima de publicidad maliciosa al publicar un anuncio que alistó computadoras en la red de bots más grande de computadoras infectadas con malware. Los lectores recibieron avisos publicitarios que les decían que sus sistemas estaban infectados, lo que era una estratagema para engañarlos e instalar software de seguridad malicioso en sus computadoras.

En 2010, la publicidad maliciosa explotó en Internet, y los observadores de la industria identificaron miles de millones de anuncios gráficos que transportaban malware en 3.500 sitios.

Spotify fue víctima de un ejemplo temprano de un ataque de publicidad maliciosa de descargas automáticas en 2011.

En 2012, un ataque masivo de publicidad maliciosa golpeó a Los Angeles Times, infectando a los usuarios a través de descargas automáticas. Fue visto como parte de una campaña general de publicidad maliciosa para llegar a grandes portales de noticias, y esta estrategia sirvió como plantilla para futuros ataques.

El año siguiente se produjo un importante ataque de publicidad maliciosa en Yahoo.com, que puso en riesgo a un número significativo de los 6,9 mil millones de visitantes mensuales de la página web. El ataque infectó las máquinas del usuario con el ransomware CryptoWall.

2014 mostró un aumento significativo en los ataques de publicidad maliciosa. Las redes publicitarias Google DoubleClick y Zedo sufrieron importantes campañas de publicidad maliciosa.

En 2015, los ataques continuaron diversificándose, utilizando una variedad de sitios web populares para mostrar anuncios malos y colocar malware en las computadoras de usuarios desprevenidos. Los sitios web específicos incluyen sitios de citas, sitios de transmisión de videos para adultos, Google Adwords y MSN.com.

Situación actual

Hoy, las detecciones de publicidad maliciosa continúan creciendo. En 2017 se informó sobre una nueva amenaza conocida como Zirconium, que perpetró lo que posiblemente fue la mayor campaña de publicidad maliciosa al comprarse por la organización aproximadamente mil millones de anuncios durante todo el año. Zirconium diseñó sus anuncios maliciosos con redireccionamientos forzados que llevaron a los usuarios a sitios web que albergaban esquemas fraudulentos o malware. Los observadores de la industria creen que esta campaña única estuvo presente en el 62 por ciento de los sitios web monetizados cada semana.

Los actores de publicidad maliciosa también se han vuelto creativos últimamente. Los ciberdelincuentes se están apoderando de dominios abandonados , es decir, sitios web que el propietario anterior nunca renovó, para mostrar anuncios maliciosos que obligan a los usuarios a redirigir a sitios de estafa de soporte técnico. También se está realizando un abuso de la minería de criptomonedas.

En enero de 2018, se descubrieron páginas con anuncios maliciosos que contenían scripts incrustados para Coinhive. Si bien Coinhive tiene usos legítimos, los ciberdelincuentes utilizan el servicio para convertir los ordenadores en máquinas de criptominería sin conocimiento o permiso de los usuarios.

El futuro

Los investigadores de seguridad creen que la publicidad maliciosa probablemente prosperará en los próximos años, y los grupos criminales se volverán más inteligentes, más ricos y más difíciles de atrapar.

La mayoría de las compañías de seguridad esperan que los grupos de publicidad maliciosa se dirijan cada vez más a los usuarios de dispositivos móviles, ya que algunos usuarios no creen que deberían instalar productos de seguridad en sus dispositivos.

Otros esperan que la industria de la publicidad sea más consciente del problema, lo que conducirá a una creciente demanda de herramientas de garantía de calidad y seguridad publicitaria.

Tipos

Una vez que los delincuentes en línea han determinado qué tipo de ordenador usas, qué software y en qué país te encuentras, tienen todo lo que necesitan para diseñar campañas personalizadas.

Los principales tipos de campañas de publicidad maliciosa son:

Esquemas para hacerse rico rápidamente y otras encuestas

Estos son esfuerzos agresivos de redes publicitarias sin escrúpulos que interrumpen su navegación con secuestros de pantalla. Pueden ser cualquier cosa, desde una oferta de lotería, estafas de trabajo desde el hogar, encuestas falsas y otros obsequios demasiado buenos para ser verdad. En el pasado, las encuestas en esta categoría incluso se han dirigido a usuarios de iPhone .

Estafas de soporte técnico

Los estafadores de soporte técnico han apuntado durante mucho tiempo a los usuarios de PC con Windows, pero también se dirigen a los usuarios de Mac, explotando su supuesta sensación de seguridad con una serie de trucos de ingeniería social.

En cualquier caso, los sitios web falsos se presentan falsamente como Apple o Microsoft, usando JavaScript para evitar que las víctimas cierren la página de forma natural. Esto lleva a los usuarios frustrados a llamar al número gratuito, enumerado por la publicidad maliciosa, para obtener ayuda.

Los estafadores hacen alarde de asustar a sus víctimas para venderles cientos de dólares de inútil «soporte técnico».

Actualizaciones falsas de Flash Player (y otro software)

Esta es una de las técnicas más comunes para aplicar adware e incluso malware a los usuarios de Mac. Disfrazadas de actualizaciones para Flash Player o códecs de video, estas páginas están bien diseñadas y son agresivas.

En algunos casos, el instalador se descargará automáticamente en su computadora. Estas campañas funcionan particularmente bien en sitios web de transmisión de videos para adultos, ya que pueden atraer a los usuarios a descargar la aplicación para ver el contenido que están buscando.

Debes mantenerte alejado de tales «programas». Pero si eliges descargar, solo hazlo yendo a los sitios oficiales del producto, ya que estos parecidos en los sitios infectados están agrupados con basura que ralentizará tu Mac, o peor, instalará spyware y otro malware en él.

Scareware

Similar a la estafa de soporte técnico, scareware primero dice que tu máquina Mac o Windows está severamente dañada o infectada. Y luego te insta a descargar un programa para solucionarlo. Las estafas de Scareware suelen ser obra de afiliados maliciosos y ambiciosos que intentan obtener la mayor cantidad de clientes potenciales para recolectar grandes comisiones de varios programas no deseados.

Daños producidos por malvertising

Quizás una forma más adecuada de formular esa pregunta es: ¿hay realmente alguna posibilidad de que no te haga daño?

La respuesta es no, porque los malos detrás de la publicidad maliciosa tienen múltiples objetivos ilícitos que persiguen con determinación.

Quieren ganar dinero robando tus datos de identificación, tus datos financieros y tus datos de contacto, entre otras cosas. Para ello pueden cifrar o suprimir información, modificar o secuestrar las funciones esenciales del ordenador, robar datos y vigilar la actividad del dispositivo sin conocimiento o permiso del usuario. Todo depende de qué tipo de programas descargue la publicidad maliciosa.

Por tanto, dentro de los daños causados se incluyen:

Malware

El término malware se utiliza para detallar cualquier programa o código malicioso que produce un daño en los sistemas informáticos.

Ransomware

El ransomware se define como un tipo de malware que cifra los archivos y bloquea el dispositivo. Luego lo obliga a pagar un rescate para recuperarlos. Se trata de uno de los ataques cibernéticos más utilizados, ya que es rentable al exige un pago rápido, normalmente en criptomonedas. El código utilizado por ransomware es sencillo de conseguir a través de los mercados criminales online y la defensa frente al mismo es bastante complicada.

Spyware

Se trata de un tipo de malware que espía en secreto las actividades del usuario en el ordenador sin su conocimiento e informa de ello al autor del software.

Adware

El adware es un software no deseado creado para presentar anuncios en la pantalla del ordenador, frecuentemente dentro de un navegador web. Normalmente usa un sistema encubierto para que sea considerado como legítimo o usa otro programa para que lo instales en tu PC, tableta o dispositivo móvil a través del engaño.

Virus

Es el malware original que es añadido a otro programa. Y, al ejecutarlo involuntariamente por el usuario, se replica alterando otros programas informáticos e infectándolos con sus propios bits de código. La mayoría de los profesionales de ciberseguridad están de acuerdo en que los virus actuales son más una amenaza heredada que un riesgo continuo para los usuarios de Windows o Mac. Eso es porque han existido durante décadas y no han cambiado sustancialmente.

Criptominería maliciosa

Se trata de un malware cada vez más frecuente con el que normalmente se instala un troyano. Se conoce también como criptojacking. Permite que otra persona use tu ordenador para extraer criptomonedas como Bitcoin. Los criptomineros envían las monedas recolectadas a su propia cuenta y no a la suya. Entonces, esencialmente, un cryptominer malicioso está robando sus recursos para ganar dinero.

Plataformas más vulnerables a la publicidad maliciosa

Aunque Windows ha sido el foco principal de los ataques de malware durante años, una campaña de publicidad maliciosa centrada en un navegador o complemento puede infectar fácilmente una Mac, Chromebook, teléfono Android, iPhone o cualquier dispositivo similar en una red empresarial.

Es cierto que los ciberdelincuentes se dirigen principalmente a los usuarios de Windows porque la enorme base de usuarios de Windows brinda a los malvertisers el mejor retorno de la inversión. Pero las Mac son igual de vulnerables a los ataques de publicidad maliciosa.

Con respecto a los dispositivos móviles, la publicidad maliciosa puede ser una amenaza aún mayor. Muchas personas no toman las mismas precauciones o tienen los mismos cortafuegos en su teléfono que tienen habitualmente en su ordenador de escritorio o portátil.

Para agravar el riesgo está el hecho de que los dispositivos móviles siempre están encendidos y transportados desde el hogar, al trabajo, en salidas de fin de semana, a menudo se usan para ir de compras, etc. Todo lo cual los convierte en un objetivo principal para la publicidad maliciosa.

Por ejemplo, los usuarios de Android están cada vez más plagados de publicidad maliciosa y fraude en línea a través de redireccionamientos forzados y aplicaciones troyanizadas, por citar los dos ejemplos más comunes.

Las empresas, con sus redes distribuidas llenas de datos personales y financieros atractivos en todo tipo de dispositivos, se han convertido recientemente en objetivos aún mayores para los tipos de malware que ofrece la publicidad maliciosa.

El año pasado, las empresas experimentaron un aumento del 55 por ciento en los ataques en comparación con el trimestre anterior. Al mismo tiempo, los ataques al consumidor aumentaron solo un cuatro por ciento trimestre a trimestre.

Protección frente al malvertising

Como medidas de protección para evitar ser víctimas de la publicidad maliciosa podemos destacar las siguientes.

1. Refuerza las vulnerabilidades en tu ordenador y dispositivo móvil

Mantén tu sistema operativo, tus aplicaciones y navegadores web (complementos incluidos) actualizados con los últimos parches de seguridad. Elimina cualquier software (especialmente Flash o Java) que no uses o necesites, porque la publicidad malintencionada busca formas de explotar las debilidades de dicho software.

2. Navega de forma segura y piensa antes de hacer clic en cualquier lugar

Siempre debes ser escéptico sobre cualquier aviso sospechosamente alarmante o scareware, así como sobre cualquier oferta emergente demasiado buena para ser verdad que recibas.

Incluso si nunca haces clic en anuncios sospechosos, no estarás protegido contra la publicidad maliciosa que conduce a sitios acreditados, pero disminuirá sus probabilidades de ser víctima de este tipo de publicidad, ya que la mayoría de la publicidad maliciosa depende hacer clic para insertar el malware.

3. Habilita los complementos de reproducción por clic en tu navegador web

Los complementos de reproducción por clic evitan que Flash o Java se ejecuten a menos que se lo indiques específicamente (haciendo clic en el anuncio). Un gran porcentaje de publicidad maliciosa depende de la explotación de estos complementos, por lo que habilitar esta función en la configuración de tu navegador ofrecerá una excelente protección.

4. Considera seriamente el uso de bloqueadores de anuncios

Estos pueden filtrar gran parte de los anuncios maliciosos, evitando así que los scripts dinámicos carguen contenido peligroso. Al bloquear la visualización de todos los anuncios en los sitios web, eliminas cualquier posibilidad de ver y hacer clic en un anuncio que sea potencialmente dañino.

El bloqueo de anuncios también genera beneficios adicionales, desde reducir la cantidad de cookies cargadas en tu ordenador, hasta proteger tu privacidad al evitar el seguimiento, ahorrar ancho de banda, cargar páginas más rápido y prolongar la vida útil de la batería en los dispositivos móviles.

Sin embargo, muchos de los sitios de noticias de mayor reputación dependen de la publicidad para obtener ingresos. Por eso solicitan a los usuarios que deshabiliten los bloqueadores de anuncios para acceder al contenido.

5. Escanea tu sistema con un programa de ciberseguridad de calidad

Por supuesto, la mejor manera de protegerte a ti mismo y a tu equipo de ser víctimas de la publicidad maliciosa (y de cualquier malware, para el caso), es escanear tu sistema regularmente con un programa de ciberseguridad de calidad.

La ciberseguridad en tiempo real y siempre activa es el estándar de oro para evitar no solo la infección de publicidad maliciosa en un sitio infectado, sino también todas las demás amenazas de malware asociadas que pueden estar al acecho en tu dispositivo.

La publicidad maliciosa seguirá siendo un problema en el futuro. Y es algo que las organizaciones y los usuarios finales deben saber identificar y evitar para que los ataques de publicidad maliciosa no comprometan los datos confidenciales.

Si tu sitio web utiliza una red publicitaria de terceros, ten en cuenta que cualquier publicidad incorrecta que se muestre puede dañar a los clientes potenciales y, en última instancia, dañar la reputación de tu empresa. A través de la educación y la vigilancia, los riesgos de publicidad maliciosa se pueden minimizar y proteger los datos.