Los primeros resultados en Google pueden llevar a sitios falsos que imitan bancos, fintechs o apps conocidas.
Seguro googleás menos. Pero cuando googléas lo que más aspirás es a encontrar un resultado rápido.
Pero ojo: ese resultado puede ser engañoso y te puede hacer perder mucho dinero.
Los enlaces patrocinados son aprovechados por ciberdelincuentes para estafar a los usuarios de todo el mundo.
Esta técnica de fraude, llamada malvertising, existe desde hace tiempo en el mundo. El malvertising, como también se le llama, muestra que en Estados Unidos aumentaron un 42 % mes a mes en el otoño de 2023, y otro 41 % entre julio y septiembre de 2024, según datos de la empresa de ciberseguridad Malwarebytes consignados por Wired.
Uruguay, por supuesto, no es ajeno a esto. En una reciente charla brindada por Itaú en Montevideo, se alertó a usuarios por esta modalidad.
El engaño se apoya en hábitos de navegación instalados: “Muchísimos usuarios no conocen la dirección exacta de cada producto o plataforma que buscan”, lo que los lleva a confiar en el primer enlace que aparece, indicó Mauro Eldritch, especialista en ciberseguridad.
“Buscás una aplicación o plataforma y es probable que si clickeás el primer link sin mirar, termines infectándote o entregando tus datos”, agregó Eldritch, destacando la efectividad del método.
El consultor en seguridad informática Claudio López indicó que es una modalidad reciente. "Hay que tener en cuenta que es una ‘inversión’ por parte de la amenaza, por lo cual muy seguramente estemos hablando de organizaciones ya muy bien montadas”.
Santiago Ingold coincide en la frecuencia del fenómeno: “No tengo datos específicos, pero por lo que he escuchado es bastante frecuente, al menos es una herramienta más que tienen a disposición los atacantes”.
Para Eldritch, las grandes plataformas priorizan cumplir mínimamente con controles formales: “Controles pobres y automatizados orientados a marcar una cajita de compliance”.
Claudio López planteó: “No sé en qué fase Google detecta que soy fraudulento (si es que legalmente lo soy)”.
Santiago Ingold añadió: “En mi opinión porque los controles son deficientes”. Y explicó que este patrón no es exclusivo de Google: “Es muy común ver cuentas falsas suplantando cuentas más o menos famosas y no las dan de baja, así como publicidades deepfake que utilizan la imagen de políticos o personas famosas”.
Para Ingold, la causa principal está en los incentivos: “Al final creo que es un tema de incentivos y falta de consecuencias, los atacantes que usan servicios de publicidad también pagan”.
Eldritch indicó que los usuarios de servicios financieros y plataformas de uso diario están expuestos por igual.
Claudio López remarcó: “Todos, sin excepciones”.
Santiago Ingold sumó un matiz sobre la experiencia digital: “Los usuarios que tienen menos experiencia en tecnología, típicamente los adultos mayores, pero en general cualquiera que no tenga un manejo tan fluido de la tecnología”.
Además, señaló un hábito común que incrementa el riesgo: “Hay gente que no sabe la diferencia entre escribir la dirección o buscar directo en el buscador. Para mucha gente el buscador y no el navegador 'es Internet'”.
Eldritch señaló: “WhatsApp, Zoom, Calendly, gestores de claves, Telegram” como los más usados.
Claudio López sostuvo que los atacantes priorizan el rédito inmediato: “Suplantaría claramente sitios como un banco o sitio de commerce)”.
Ingold coincidió en que los servicios más rentables son el blanco: “En mi experiencia los relacionados con home banking, supongo que por un tema de rédito económico para los atacantes”.
También mencionó un segundo grupo: “Aplicaciones relacionadas a redes sociales que prometen cosas que no se pueden hacer, del estilo de 'ver quién te dejó de seguir'”.
Según Eldritch, la estructura incluye servicios de hosting en jurisdicciones con flexibilidades, dominios con extensiones permisivas como .shop y difusión por buscadores y redes.
López explicó: “Primero clonar el sitio objetivo… luego registrando el mismo con certificados SSL… y finalmente pagándole a Google”.
Santiago Ingold detalló la similitud con el phishing tradicional: “A nivel de procedimientos no se diferencia mucho del phishing en general, solo que en lugar de enviar un correo hacen una publicación de anuncios”.
El engaño se concreta en dos pasos: “Esos anuncios te llevan a sitios falsos que se hacen pasar por alguien y ahí te piden datos o te dirigen a descargar algún tipo de software malicioso”.
El poderío de la inteligencia artificial que puede emular estos sitios en pocos clicks también es un asunto a tener presente.
Google afirma que combate activamente los anuncios fraudulentos y que publica anualmente un resumen de sus esfuerzos a través del Informe de Seguridad de los Anuncios.
En la edición 2024, la empresa destaca que la inteligencia artificial ha mejorado su capacidad para prevenir que actores maliciosos muestren anuncios a los usuarios.
“En 2024, lanzamos más de 50 mejoras en nuestros modelos de lenguaje de gran escala... lo que permitió una aplicación de políticas más eficiente y precisa”, señala el informe.
Google explica que estas actualizaciones aceleraron la detección de información de pago ilegítima y ayudaron a impedir que miles de millones de anuncios que violaban sus políticas fueran publicados.
Frente al aumento de estafas con suplantación de figuras públicas mediante IA, la empresa conformó un equipo de más de 100 expertos. Como parte de estas medidas, actualizó su política de información engañosa y suspendió de forma permanente más de 700.000 cuentas.
Según Google, esta estrategia contribuyó a una reducción del 90% en los reportes de anuncios engañosos en el último año.
“Esto es solo una parte de nuestro trabajo continuo para mantener seguro el ecosistema publicitario”, concluye el documento.
