El malvertising es una técnica utilizada por los ciberdelincuentes para inyectar malware en anuncios publicitarios de Internet. Funciona de una manera muy simple. Primero, disuaden a la víctima para que haga clic en la publicidad y, una vez que han conseguido su objetivo, la redirigen a una página web maliciosa o simplemente provocan, tras esta acción, que un malware se descargue de forma automática y sin su consentimiento en su dispositivo.
Los cibercriminales suelen servirse de todo tipo de anzuelos llamativos, como descuentos extraordinarios, oportunidades únicas o actualizaciones y avisos de seguridad, para captar la atención y el interés del usuario. Todo vale para encontrar una fisura desde donde lanzar nuevas amenazas. De hecho, hay una gran variedad de tipos de publicidad maliciosa, tanto en contenidos como formatos. En la mayor parte de los casos, necesitan la interacción de la víctima, pero no siempre es así. Un ejemplo de ello son los ataques Drive by Download, en los que solo hace falta acceder a la web donde está alojado el anuncio para caer en la trampa de los ciberdelincuentes. Este tipo de prácticas son casi imperceptibles y suelen aprovechar vulnerabilidades del navegador o el dispositivo para hacerse con el control del equipo de la víctima.
¿Cómo puede afectar el malvertising a mi empresa?
La descarga de malverstising en los equipos corporativos puede poner en peligro a toda la organización. Y es que son muchos los empleados que todavía no son conscientes de los riesgos que para la empresa puede suponer su conducta en la red a través de los dispositivos de empresa. Además, esta puede, sin saberlo, formar parte también del canal de ataque, algo que ocurre cuando los ciberdelincuentes utilizan su popularidad e imagen confiable para alojar publicidad maliciosa en sus páginas web oficiales o cuando se hacen pasar por ellas para perpetuar su ataque. Esto puede conllevar pérdidas tanto económicas como de clientes o inversores, e incluso acarrear problemas legales a la organización.
¿Cómo puedo distinguir la publicidad real de la maliciosa?
Como normal general, los anuncios legítimos provienen de empresas que también lo son, por lo que si no puedes identificar la fuente, ¡ponte alerta! A la hora de analizar un anuncio, es importante prestar atención en todos los detalles, desde el lenguaje utilizado en los mensajes hasta el formato del anuncio. Es importante considerar que, si lo que ofrecen es demasiado bueno para ser verdad, lo más probable es que no lo sea.
Los ciberdelincuentes suelen recurrir al uso de pop-ups o de ventanas emergentes para llamar la atención por lo que, como pauta, es mejor cerrar directamente este tipo de anuncios y no hacer clic en ellos. Otro punto que debes revisar es la URL de la página de destino. Los anuncios reales suelen contar con una URL sencilla y fácilmente reconocible respecto al sitio confiable. Si la dirección web te resulta sospechosa, no la visites.
Buenas prácticas para prevenir el malvertising
Para que los equipos de nuestra empresa no se vean comprometidos por el malvertising, sigue estas recomendaciones del Incibe:
- Verifica siempre la legitimidad de los sitios web que visitas.
- Mantén el software actualizado a la última versión.
- Utiliza medidas de protección como bloqueadores de anuncios en los navegadores, además de antivirus y cortafuegos.
- No reveles nunca información personal a través de anuncios.
Todas las empresas con presencia en Internet deben cerciorarse de que su página web no presenta publicidad engañosa, pues su reputación y credibilidad está en jaque. ¡Asegúrate!
