Víctima de estafa por tus búsquedas en Google: así funciona el 'malvertising'

¿Qué ocurre cuando el propio escaparate de Google se convierte en una trampa? Este no es un escenario hipotético, sino el nuevo campo de batalla del cibercrimen: Google Ads, una de las plataformas publicitarias más grandes y sofisticadas del mundo, se ha convertido en el blanco y a la vez el vehículo de una campaña de phishing que combina ingeniería social, técnicas avanzadas de camuflaje y una logística global.

Desde mediados de noviembre de 2024, una red de actores maliciosos, presuntamente de habla portuguesa, ha estado explotando debilidades en las políticas de verificación de Google Ads para lanzar campañas que parecen legítimas, pero que están diseñadas para robar credenciales, códigos de doble autenticación y, en última instancia, cuentas enteras. El objetivo no es solo robar, sino reciclar esas cuentas para escalar el fraude y multiplicar sus ganancias.

¿Cómo es posible que algo tan elemental como un enlace de anuncio que ves en Google redirija al usuario a un sitio falso sin levantar sospechas? ¿Por qué Google, con todos sus recursos, no ha logrado bloquear esta cadena de fraudes? Y sobre todo: ¿estamos entrando en una era en la que el crimen organizado domina el ecosistema publicitario digital desde dentro?

El modus operandi del Malvertising

La clave de esta operación no está en el malware más destructivo ni en una nueva vulnerabilidad de software, sino en un simple detalle técnico: Google Ads no exige que la URL de destino coincida exactamente con la URL visible en el anuncio, siempre que el dominio principal sea el mismo.

Eso permite que el itinerario de una persona víctima del malvertising sea el siguiente:

1. Haces una búsqueda en Google
2. Clicas en uno de los anuncios destacados que se te muestran al comienzo de los resultados y que son más llamativos
3. La url a la que te lleva es distinta de la mostrada en el anuncio
4. Los hackers aprovechan los datos que completas para conseguir la oferta para quedárselos

Este pequeño matiz se ha convertido en la grieta por la que se ha colado una operación de malvertising de alcance global. Los atacantes crean anuncios que muestran una URL aparentemente legítimas y de ahí a páginas de phishing.

Estas páginas falsas replican el diseño de otras conocidas e incluso incluyen mecanismos de autenticación en dos pasos, con la diferencia de que están diseñadas para capturar tanto el usuario y la contraseña como el código 2FA en tiempo real mediante conexiones WebSocket cifradas.

Todo este sistema se apoya en técnicas adicionales:

• Fingerprinting para evitar ser detectados por sistemas automáticos.
• Cloaking y CAPTCHA falsos para filtrar a los bots y asegurar que solo los humanos accedan al phishing.
• Dominios locales .pt y servidores ubicados en Brasil o Portugal para reforzar la apariencia de legitimidad regional.

Secuestro de cuentas y reutilización criminal

Una vez obtenidas las credenciales, el siguiente paso es el secuestro. Los atacantes no solo acceden a la cuenta de Google Ads: agregan nuevos administradores, cambian parámetros clave y utilizan el presupuesto publicitario ya disponible para lanzar sus propios anuncios fraudulentos.

Es una operación redonda por todo lo que consiguen:

1. Capturan una cuenta legítima.
2. Lanzan anuncios con esa cuenta robada.
3. Capturan nuevas víctimas a través de esos anuncios.
4. Repiten el ciclo.

No es una técnica nueva en esencia, pero sí en su aplicación a gran escala y en su grado de sofisticación. Campañas similares ya se habían visto en el ecosistema publicitario de Facebook. Ahora, Google Ads se ha convertido en el nuevo escenario de esta guerra silenciosa.

Según Malwarebytes, algunas de las cuentas utilizadas en esta campaña provenían de entidades como un aeropuerto regional, lo que da una idea del nivel de acceso que estos actores han logrado.

Google ha reconocido la existencia del problema y ha declarado que está "investigando activamente" y "tomando medidas de cumplimiento", incluyendo la eliminación de más de 3.400 millones de anuncios y la suspensión de más de 5,6 millones de cuentas en 2023.

La monetización de estas cuentas robadas no se limita a su uso directo. En foros clandestinos, se venden perfiles verificados con acceso a campañas activas por precios que oscilan entre 500 y 5.000 euros, dependiendo del historial de inversión y el tipo de acceso.

En paralelo, los atacantes también distribuyen malware mediante plataformas legítimas como YouTube o SoundCloud, camuflando instaladores piratas de software popular con puertas traseras como Amadey, Lumma Stealer, Vidar o PrivateLoader. Estos programas recopilan aún más credenciales, aumentando el valor de cada víctima capturada.

Este modelo de negocio -que mezcla publicidad fraudulenta, phishing dirigido y reventa en mercados oscuros- no solo es lucrativo, sino extremadamente resiliente. La clave está en el aprovechamiento de servicios legítimos para ocultar operaciones ilegítimas.