Nueva modalidad de estafa: así le pueden desocupar su cuenta bancaria solo por hacer clic en un anuncio publicitario

Una nueva modalidad de estafa prendió las alarmas de los internautas. Se trata del ‘malvertising’, o publicidad maliciosa, una técnica utilizada por ciberdelincuentes para distribuir malware a través de anuncios en línea.

Con este método, en lugar de atacar directamente a los usuarios con sitios web engañosos, links de whatsapp o correos electrónicos, los delincuentes insertan un código malicioso en anuncios que parecen legítimos, confiables y reales. Esto hace que la gente caiga más fácil.

Estos anuncios pueden aparecer en sitios web populares o, incluso, en los anuncios que aparecen en las redes sociales. El malvertising puede infiltrarse en cualquier sitio que permita la inclusión de anuncios, especialmente si dicha red de publicidad no tiene un control riguroso de seguridad.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel.

• Tiendas en línea: sitios de comercio electrónico pueden ser bastante vulnerables a los anuncios maliciosos, que podrían redirigir a los usuarios a otros sitios falsos.
• Sitios de noticias y medios: plataformas de noticias online y medios de comunicación digitales suelen tener una gran cantidad de anuncios y son objetivos frecuentes. (Se consideran los más afectados por este fenómeno).
• Blogs y foros: los foros en línea y blogs personales pueden contener anuncios que distribuyen malware.
• Redes sociales: a pesar de que los anuncios en redes sociales suelen ser más estrictos en sus regulaciones, todavía pueden ser una víctima clave para el malvertising.
• Páginas de entretenimiento: los sitios que ofrecen contenido gratuito, como música o videos, pueden ser explotados constantemente para distribuir anuncios maliciosos y engañar a los usuarios frecuentes.

Esta situación es peligrosa en cualquier caso para los usuarios frecuentes de internet, pero es aún más peligrosa cuando se trata de las empresas.

La descarga de un malware puede llegar a comprometer la información confidencial de un negocio, incluso llegando a exigir rescates económicos por ella (ransomware).

De acuerdo con el Instituto Nacional de Ciberseguridad, INCIBE, el contenido de este tipo de anuncios puede variar, pero normalmente, los ciberdelincuentes hacen uso de la ingeniería social para atraer a sus víctimas con: descuentos u oportunidades únicas, a través de un formato llamativo, que resultan no ser reales.

También son frecuentes los anuncios que informan de actualizaciones u otros avisos de seguridad y que, aunque puedan parecer legítimos, también contienen malware. De hecho, resulta irónico infectar nuestro dispositivo “sano” por hacer clic en un “Su equipo podría estar infectado”.

En cualquiera de estos casos, los ciberdelincuentes utilizan cualquier método para perpetuar su ataque, es decir, necesitan de la interacción de la víctima, pero no siempre hace falta hacer clic para caer en su trampa.

Los ataques Drive by Download funcionan de forma que resultan prácticamente imperceptibles para el usuario: simplemente ocurre cuando acceden a la web donde está alojado el anuncio malicioso, los ciberdelincuentes podrían aprovechar vulnerabilidades en el navegador o incluso del dispositivo para tomar el control del equipo de la víctima.

• Es fundamental analizar el lenguaje y la forma del anuncio. En el malvertising, se suelen utilizar mensajes llamativos o alarmistas, intentando atraer la atención de la víctima. Si es demasiado bueno para ser verdad, es mejor evitarlo.
• Utilizar medidas de protección adecuadas. Además del antivirus y el cortafuegos, existen bloqueadores de anuncios en los navegadores que pueden filtrar, en gran parte, la publicidad maliciosa.
• Verificar siempre la legitimidad de los sitios web que se visitan. Antes de acceder a cualquier sitio web, es imprescindible asegurarse de que se trata de una página legítima. Aunque estas también pueden contener publicidad maliciosa, algunas suelen ser menos seguras y son más propensas a estar infectadas.
• Si se trata de una empresa: concienciar a todos los empleados y formarlos para que aprendan a distinguir entre publicidad real y maliciosa.
• Mantener el software actualizado a la última versión. Las vulnerabilidades de un software desactualizado suponen una puerta abierta a los ciberdelincuentes.
• No revelar nunca información personal a través de anuncios. Aunque pueda parecer provenir de una página web fiable, podría tratarse de un engaño.