‘Malvertising’: cuando la publicidad no es sólo molesta; también peligrosa

La popularización de los smartphones y el libre acceso a Internet convirtió en habitual el toparnos con una cascada de anuncios nada más entrar a … cualquier web. Muchas veces se trata de inserciones publicitarias inofensivas (más allá de entorpecernos la lectura o crearnos necesidades superfluas), pero también las hay diseñadas expresamente para causarnos perjuicio. 

Esto último es lo que los expertos en ciberseguridad denominan ‘malvertising’, cuando los delincuentes introducen anuncios maliciosos en las redes de publicidad online. A consecuencia, pueden aparecernos mientras navegamos por sitios web de nuestra plena confianza, sin que sospechemos que al hacer clic sobre el banner o la ventana emergente de turno terminaremos infectando nuestro dispositivo. 

«Desde la perspectiva de un hacker, el malvertising es un modo relativamente fácil de comprometer sitios que reciben mucho tráfico, pero sin tener que atacarlos directamente», explica Oliver Buxton, especialista de la firma antivirus Avast, quien también describe ésta como una amenaza dinámica: «Los ataques más sofisticados pueden infectar aunque no se haga clic en los anuncios maliciosos, gracias a que esconden códigos -dentro de imágenes de unos pocos píxeles- imperceptibles para los mecanismos de control».

El primer ataque de malvertising registrado se remonta a 2007, cuando unos ciberdelincuentes aprovecharon una vulnerabilidad de Adobe Flash para colar programas maliciosos en sitios por entonces muy populares, como la red social MySpace. La amenaza no ha dejado de crecer desde entonces: solo en 2024, Google retiró 5.100 millones de anuncios maliciosos, bloqueó los presentes en 1.300 millones de páginas y suspendió las cuentas de más de 39 millones de anunciantes. 

Operadores telefónicos que no son tales

La mayoría de los ataques de malvertising (hasta un 81% durante el cuarto trimestre del año pasado, según el informe hecho público por la firma AdMonsters) se corresponden, como decíamos, a redireccionamientos forzados. Un ejemplo: nos aparece un anuncio invitándonos a descargar un conocido antivirus gratuito y, al pinchar, somos redirigidos a una web diseñada a imagen y semejanza de la oficial, donde descargaremos un ejecutable capaz de acceder a la información de nuestro móvil. En ocasiones puede que la descarga se aloje automáticamente en la carpeta al efecto, sin click alguno por nuestra parte. Otras fórmulas habituales de malvertising son las estafas de soporte técnico, prosigue Buxton: «Los anuncios fraudulentos suelen instalar algún tipo de malware de secuestro del navegador para perturbar la experiencia del usuario y, después, le indican que llame a un número de teléfono para resolver este problema inexistente». Es entonces cuando los estafadores (siempre haciéndose pasar por empleados de una gran empresa tecnológica) intentan que hagamos pagos innecesarios mediante tarjeta de crédito.

También abunda el ‘scareware’ (anuncios alarmantes, con mensajes de error que invitan a descargar un programa capaz de resolverlos en segundos); las promesas de ingresos contantes y sonantes sin esfuerzo (rellenando encuestas que en realidad permiten a terceros tomar el control de nuestro ordenador); y las falsas actualizaciones que inundan los gadgets con software espía. En estos casos conviene recordar que los errores y la disponibilidad de actualizaciones del sistema operativo siempre se nos notificarán mediante ventanas del propio S.O.; nunca al abrir el navegador o acceder a webs externas. 

Busca ‘click-to-play’ en tu navegador

Además de no pinchar en aquellos anuncios que consideremos sospechosos para combatir el malvertising, el Instituto Nacional de Ciberseguridad (INCIBE) recomienda mantener todos nuestros dispositivos actualizados para contar con los últimos parches de seguridad; instalar y habilitar únicamente aquellos complementos de navegador que resulten indispensables para el día a día; adoptar un software de seguridad con detección de virus, malware y spyware; actualizar programas como Java o Adobe desde sus sitios oficiales; y habilitar la función ‘click-to-play’, disponible en la mayoría de navegadores. Al hacerlo, deberemos permitir la ejecución de cualquier plugin que intente iniciarse al visitar cualquier web. 

En el contexto de la publicidad en Internet, los niños resultan, por último, especialmente vulnerables. Los de menor edad pueden terminar pinchando en banners fraudulentos por el simple motivo de su colorido; y los adolescentes picar en la falsa promesa de descuentos o contenido adicional gratuito para sus videojuegos de cabecera. Por esto mismo, el INCIBE aconseja a los padres desactivar la publicidad personalizada en aquellas redes sociales que lo permitan (dentro de sus apartados de configuración); instalar bloqueadores de anuncios y pautar unos tiempos de uso máximo. Además de enseñarles a navegar de forma responsable, mostrándoles qué espacios de Internet resultan de confianza y cuáles se encuentran libres de publicidad. 

Lo habremos hecho bien si vemos que, al toparse con un anuncio en el móvil o la tablet, toman por costumbre el cerrarlo sin dilación. Y es que, como ocurre con mucho de lo que vemos y leemos en la red de redes, mejor desconfiar por norma de todos los avisos, ofertas y oportunidades que nos asaltan a diario entre signos de exclamación.