Qué es el 'malvertising' y cómo puedes protegerte de la estafa que roba tu dinero por hacer clic en un anuncio

El malvertising no es nuevo, se conoce desde 2008, pero ha sido en los últimos años cuando ha experimentado un fuerte crecimiento que, de acuerdo con el último informe sobre amenazas de la empresa de ciberseguridad Gen Digital correspondiente al tercer trimestre de este año, se ha convertido en la segunda forma más usada para distribuir malware en dispositivos. El nombre proviene de la contracción entre las palabras malware y advertising, publicidad, y bajo este nombre se engloban varias formas de manipular los anuncios que aparecen en las páginas web para infectar equipos sin apenas interacción por parte del usuario. Basta con hacer un clic en un anuncio y, a veces, ni siquiera esa acción es necesaria para que terminen haciéndose con tus datos personales, bancarios o cualquier información que tengas en un dispositivo.

Lo que hace el malvertising es inyectar código malicioso en los anuncios que distribuyen las redes de publicidad. Obviamente, plataformas como Google Ads u otras que sirven anuncios tienen sus mecanismos de seguridad, pero los ciberdelincuentes consiguen saltarlos en ocasiones. Y por ese motivo, uno puede encontrarse en una página web que visita todos los días un anuncio que es malware o no lo es, pero sí engañoso, y redirige a una página falsa, que es la otra forma de malvertising predominante.

Por ejemplo, el pasado junio se conoció el caso de un anuncio malvertising en la plataforma de Google que, con el gancho de Google Authenticator, redirigía a una página web fraudulenta en la que la víctima se descargaba e instalaba malware en lugar de la app de autenticación. Es decir, un caso de phishing a través de malvertising.

Dejamos los anuncios engañosos y volvemos a los que contienen código malicioso. Una vez que el usuario hace clic en un anuncio de este tipo, el código malicioso se instala en el equipo. Este suele ser un pequeño fragmento de código que permite que un servidor de mando y control se conecte al dispositivo y lo escanee para determinar el malware más eficaz en su caso y enviárselo. Una vez instalado, la información que la víctima guarda en su navegador y en el equipo podrá ser robada: datos personales, financieros, documentos, etc. En algunos casos, ni siquiera es necesario hacer clic en el anuncio para desencadenar la actividad maliciosa: basta con cargar la página web que aloja el anuncio.

Cómo protegerse del malvertising

Más allá de las habituales recomendaciones de mantener todo el software actualizado, incluyendo las extensiones del navegador, hay dos métodos que previenen esta actividad.

La primera es la más evidente: bloquear los anuncios. Puede hacerse con complementos del navegador como Ublock o Adblock, o usando uno que los bloquee de forma nativa, sin tener que hacer nada, como el caso de Brave. Es algo que recomienda hasta el FBI.

La segunda es desactivar JavaScript en el navegador, algo que puede realizarse desde los ajustes en el apartado Configuración de sitios. Los anuncios infectados necesitan JavaScript para ejecutar el código, pero esto también puede deshabilitar el funcionamiento de otros elementos de la página web que se visita, por lo que no resulta práctico.