¿Qué es la publicidad maliciosa?

¿Qué es la publicidad maliciosa?

La publicidad maliciosa (o malvertising) es una técnica de ciberataque relativamente nueva que inyecta código malicioso en los anuncios digitales. Difíciles de detectar tanto por los usuarios de Internet como por los editores, estos anuncios infectados suelen presentarse ante consumidores a través de redes publicitarias legítimas. Como los anuncios se muestran a todos los visitantes del sitio web, casi todo el que ve la página corre el riesgo de infectarse.

¿Cómo funciona la publicidad maliciosa?

Los ataques de publicidad maliciosa pueden tener una naturaleza compleja, aprovechándose de muchas otras técnicas para realizar el ataque. Normalmente, el ciberdelincuente comienza por introducirse en un servidor de terceros, que permite que dicho ciberdelincuente inyecte código malicioso dentro de un anuncio o algún elemento del estilo, como una copia del banner de publicidad, imágenes publicitarias o contenido de vídeo.

Una vez que un visitante del sitio web hace clic en la publicidad maliciosa, el código corrupto de su interior instalará malware (software malicioso) o adware en el equipo del usuario. Puede que el ciberdelincuente también redirija al usuario a un sitio web malicioso y se aproveche de técnicas de suplantación de identidad o ingeniería social para dar un paso más en el ataque.

Los ataques de publicidad maliciosa también pueden ejecutar un kit de exploits, una forma de malware diseñado para analizar el sistema y explotar sus vulnerabilidades o debilidades.

Tras la instalación, el malware enviado mediante ataques de publicidad maliciosa funciona como cualquier otro tipo de malware. Puede dañar archivos, redirigir el tráfico de Internet, monitorizar la actividad del usuario, robar datos confidenciales o establecer puntos de puerta trasera en el sistema. El malware también se puede utilizar para eliminar, bloquear, modificar, filtrar o copiar datos, que pueden después devolverse al usuario previo pago de un rescate o venderse en la dark web.

Aunque es menos habitual, es posible realizar un ataque de publicidad maliciosa sin que el usuario interactúe con el anuncio. Entre estos ataques se incluyen:

• Una "descarga drive-by", que explota las vulnerabilidades del navegador para instalar archivos infectados en el sistema mientras el usuario contempla el anuncio de forma pasiva.
• Una redirección forzada del navegador a un sitio malicioso.
• Ejecución de Javascript o Flash para mostrar publicidad no deseada o contenido malicioso.

Comparación de publicidad maliciosa y malware de publicidad (adware)

Publicidad maliciosa y adware son dos términos que a veces se usan como sinónimos, pero existen algunas diferencias.

A diferencia de la publicidad maliciosa, que lanza un ataque mediante un anuncio infectado, el adware es un programa que se puede usar para realizar el seguimiento de la actividad web de un usuario a fin de mostrarle anuncios relevantes o personalizados. Toda la publicidad maliciosa se considera mala por naturaleza, mientras que algunas formas de adware se incluyen en paquetes de software legítimos. Aunque el adware suele provocar preocupación sobre la privacidad y la seguridad de los datos, no permite que los ciberdelincuentes obtengan el control del sistema ni que alteren, filtren o eliminen datos.

Ejemplos de publicidad maliciosa

Muchas organizaciones respetables, entre las que se incluyen The New York Times, BBC, Spotify, Forbes y la NFL, se han visto envueltas en ataques de publicidad maliciosa en los últimos años. En muchos casos, los ataques partieron de una red publicitaria infectada, lo que hizo casi imposible que la organización identificara estos riesgos.

Estos son algunos de estos ataques:

• Kit de exploits Angler. Este ataque de publicidad maliciosa fue un ejemplo de descarga drive-by. Redirigía a los visitantes de manera automática a un sitio web malicioso donde un kit de exploits podía explotar las vulnerabilidades de las extensiones web habituales, como Adobe Flash, Microsoft Silverlight y Oracle Java.
• RoughTed es una campaña de publicidad maliciosa que logró evitar tanto a los bloqueadores de publicidad como a muchas soluciones antivirus a través de una serie de URL dinámicas. Los ciberdelincuentes detrás de RoughTed aprovecharon una compleja red de intercambio publicitario, además de la infraestructura de nube de Amazon y su red de entrega de contenido (CDN) para llevar a cabo el ataque.
• KS Clean es una campaña de publicidad maliciosa que ataca anuncios maliciosos dentro de aplicaciones móviles. Una vez descargado, el malware activará una notificación dentro de la aplicación avisando al usuario de que hay un problema de seguridad e instándole a que la actualice. Sin embargo, si el usuario permite la actualización, esto completa el proceso de instalación y otorga a los ciberdelincuentes privilegios administrativos sobre su dispositivo móvil.

Cómo evitar la publicidad maliciosa

La publicidad maliciosa es muy difícil de detectar y de evitar tanto para los consumidores como para las plataformas publicitarias. Esto se debe al increíble volumen de anuncios digitales que se crean y la alta velocidad a la que circulan dentro de un intercambio de anuncios digitales, por lo que generalmente ni las propias plataformas publicitarias pueden supervisar directamente el proceso de evaluación y verificación de los anuncios.

Por lo general, también es muy difícil que los expertos en seguridad identifiquen con exactitud qué anuncio es malicioso dado que los anuncios de una página web están cambiando continuamente. Además, la mayoría de los ataques de publicidad maliciosa requieren que el usuario interactúe con el anuncio infectado. Esto significa que no todos los visitantes de un sitio web se verán afectados por un anuncio malicioso, lo que dificulta aún más reducir el círculo del anuncio en cuestión.

Aunque es difícil prevenir la infección por publicidad maliciosa, los usuarios pueden realizar algunos pasos para reducir riesgos:

• Asegúrate de que todo el software y las extensiones, incluidos los navegadores, están actualizados.
• Instala un software antivirus y bloqueadores de publicidad para reducir el riesgo de publicidad maliciosa.
• Evita el uso de Flash y Java, y no permitas que estos programas se ejecuten de manera automática al navegar por la red.

Los editores tienen la responsabilidad de proteger a sus visitantes de la publicidad maliciosa. Entre los pasos que pueden dar, están los siguientes:

• Evaluar exhaustivamente las redes publicitarias de terceros responsables de la selección, el veto y la publicación de anuncios.
• Analizar los anuncios que se van a mostrar para detectar malware o código malicioso.
• Evitar el uso de JavaScript o Flash en los anuncios.
• Contratar a un socio de ciberseguridad de confianza para que ofrezca recomendaciones personalizadas en función de la actividad publicitaria digital de la organización.