¿Creías que habías bloqueado los anuncios? Uno de cada dos clics en internet termina en manos de estafadores
Tu navegador lleva tiempo trabajando para terceros.
Durante más de diez años, la red Vane Viper se ha mantenido como uno de los mayores actores ocultos en el ámbito de la publicidad online maliciosa. El último informe de Infoblox, elaborado junto con Guardio y Confiant, muestra que esta estructura ha logrado construir todo un ecosistema en el que las tecnologías publicitarias se utilizan como cobertura para la distribución de software malicioso y esquemas fraudulentos. El informe subraya que por la infraestructura de Vane Viper han pasado alrededor de un billón de consultas DNS en el último año, lo que supone casi la mitad de todo el tráfico en las redes de clientes de Infoblox.
La organización, también conocida como Omnatuor, actúa como un gran intermediario: no solo redirige tráfico hacia cargadores de código malicioso y sitios de phishing, sino que además lanza por su cuenta campañas publicitarias que replican técnicas de fraude de clics. Su infraestructura se apoya en miles de sitios comprometidos, principalmente con WordPress. En esos recursos se despliegan páginas que redirigen a los visitantes hacia trampas publicitarias, extensiones maliciosas para navegadores, tiendas online falsas, servicios dudosos de descarga de software e incluso troyanos móviles, como el malware Triada para Android.
Una de las herramientas clave para retener a la audiencia son las notificaciones push: los atacantes obligan al navegador a conservar el permiso para mostrar mensajes, tras lo cual, mediante service workers, la publicidad sigue llegando incluso cuando el usuario abandona el sitio original. Esta técnica convierte al navegador en un canal en segundo plano para la difusión de notificaciones persistentes y enlaces maliciosos.
Una técnica similar ya se empleó en la operación DeceptionAds, destapada por Guardio Labs: entonces fue la red Vane Viper la que se utilizó para ejecutar campañas sociales al estilo ClickFix. Los vínculos llevaron a los analistas hasta la empresa Monetag, que resultó ser una filial de PropellerAds. Esta, a su vez, forma parte de AdTech Holding, registrada en Chipre.
La investigación mostró que los dominios vinculados a PropellerAds aparecen regularmente en esquemas de redirección de tráfico hacia kits de explotación y plataformas fraudulentas. Además, la infraestructura de Vane Viper presenta intersecciones con empresas como URL Solutions (también conocida como Pananames), Webzilla y XBT Holdings. En el portafolio de AdTech Holding, además de PropellerAds y Monetag, figuran otros servicios: ProPushMe, Zeydoo, Notix y Adex.
En la actualidad Vane Viper dispone de aproximadamente 60.000 dominios; la mayoría vive menos de un mes, aunque hay recursos con actividad de varios años, incluidos omnatuor[.]com y propeller-tracking[.]com. Desde 2023 los atacantes registran activamente nuevos nombres de dominio a través de URL Solutions: si en la primavera de 2023 su número no superaba los 500 mensuales, en octubre de 2024 la cifra superó los 3.500. En conjunto, la proporción de dominios de Vane Viper en los registros masivos alcanzó casi la mitad. Ese enfoque permite renovar constantemente el conjunto de sitios y eludir bloqueos.
A pesar de las pruebas directas, PropellerAds rechaza públicamente las acusaciones, alegando que su servicio es solo una plataforma automatizada para conectar anunciantes con sitios y que no tiene relación con el contenido de los anuncios. Sin embargo, los analistas de Infoblox señalan que no se trata de un delincuente oculto detrás de una red publicitaria, sino de un actor malicioso que se ha convertido en una plataforma publicitaria por sí mismo. Según ellos, bajo la pancarta del «alcance masivo y la monetización» los clientes, en la práctica, reciben riesgos de infección y son arrastrados a una red global de fraude.
Vane Viper demuestra que las fronteras entre el mercado legal de la publicidad y la ciberdelincuencia pueden estar deliberadamente difuminadas. El uso de granjas de dominios, servicios de notificaciones push y una infraestructura a gran escala ha elevado a esta red al nivel de un actor global, que controla enormes volúmenes de tráfico y los suministra al mercado en la sombra.