Google mira gatitos y tú caes en el phishing: cómo los estafadores burlan a los moderadores de anuncios
Un titiritero en la sombra lleva años engañando a los algoritmos ajenos.
En el ecosistema de la publicidad en línea se ha detectado un servicio que ayuda a ciberdelincuentes a mantener durante mucho tiempo anuncios maliciosos en los resultados de búsqueda de Google y a eludir controles automáticos. La plataforma llamada 1Campaign disfraza páginas de phishing y de estafa de tal manera que los sistemas de moderación y los especialistas en seguridad ven contenido inocuo, mientras que los usuarios reales llegan a los recursos de los atacantes.
Según la empresa Varonis, el servicio lleva operando al menos tres años y lo gestiona un desarrollador bajo el seudónimo DuppyMeister. La esencia del esquema consiste en sustituir el contenido según quién abra el anuncio. Si la interacción la realizan escáneres automáticos o empleados de compañías tecnológicas, el sistema muestra las llamadas «páginas blancas». Las posibles víctimas, en cambio, son redirigidas a sitios de phishing y a páginas para el robo de criptomonedas.
La plataforma ofrece a los clientes un panel de control donde se pueden configurar los parámetros de las campañas y supervisar su funcionamiento. El filtrado del tráfico se realiza en tiempo real. Los visitantes se segmentan según criterios fijados, incluyendo el país, el proveedor de Internet y las características del dispositivo. Ese enfoque permite centrarse en audiencias de determinadas regiones y excluir países donde la probabilidad de revisión es mayor.
Varonis registró un ejemplo en el que el sistema bloqueó el 99,4 por ciento de 1.676 visitantes de un anuncio malicioso. Solo diez personas llegaron a la página objetivo. A cada usuario se le asigna una puntuación de riesgo de 0 a 100. En el cálculo se consideran indicios de uso de infraestructura en la nube, centros de datos, servicios de VPN y servicios de seguridad. El tráfico procedente de redes de Microsoft, Google, Tencent Cloud, OVH y otros grandes proveedores recibe automáticamente una puntuación de riesgo alta y queda bloqueado. El análisis de rangos de direcciones IP y de patrones de comportamiento ayuda a detectar accesos desde escáneres.
Se observó actividad relacionada con 1Campaign en Estados Unidos, Canadá, Países Bajos, China, Alemania, Francia, Japón, Hungría y Albania. Además de la ocultación, la plataforma ofrece una herramienta para lanzar campañas publicitarias en Google Ads. El desarrollador afirma que con ella es posible eludir las restricciones de la plataforma y presentar anuncios como si fueran publicidad de marcas legítimas.
A pesar de la incorporación de mecanismos de protección adicionales, la red publicitaria de Google sigue siendo un canal de distribución de fraudes y de software malicioso. La particularidad de 1Campaign es que el servicio se diseñó desde el inicio para superar la moderación automática y prolongar la vida de anuncios peligrosos hasta que sean detectados manualmente o se reciban denuncias.
Varonis señala que este tipo de esquemas reduce la eficacia del análisis estático de URL. Para identificar campañas así se requiere el uso de huellas digitales de navegador realistas y la simulación del comportamiento de usuarios comunes. A los sistemas automáticos se les recomienda cambiar regularmente las direcciones IP y los parámetros user-agent para no formar un perfil persistente que los filtros de los atacantes puedan detectar con facilidad.