Cómo proteger tu empresa contra el malvertising
A finales de la primera década de los 2000, cuando los ordenadores e Internet empezaban a formar parte de nuestro día a día, un grupo de ciberdelincuentes consiguió inyectar malware en DoubleClick, la red publicitaria de Google.
Aunque la publicidad maliciosa en Internet existía desde hacía tiempo, este ciberataque distribuyó malware a través de anuncios que se encontraban en páginas web de alto tráfico, infectando a un elevado número de usuarios.
Fue así como el malvertising, o publicidad maliciosa, empezó a desarrollarse, siendo cada vez más sofisticado y convirtiéndose, también hoy en día, en una amenaza para usuarios y empresas.
El malvertising es la técnica mediante la cual los ciberdelincuentes inyectan malware en anuncios publicitarios de la Red. Este tipo de anuncios maliciosos están hechos de tal forma que incitan a la víctima a hacer clic en ellos. De hacerlo, estos descargan malware automáticamente en el dispositivo o redirigen al usuario a una página web maliciosa.
¿Qué formas de malvertising podemos encontrar?
Aunque la finalidad de este tipo de ataques es la misma, podemos entrar en diferentes tipos de publicidad maliciosa en la Red.
Los más comunes son los anuncios, por ejemplo, en forma de banner, que descargan automáticamente el malware en el dispositivo al hacer clic sobre ellos, sin el consentimiento del usuario. Una vez es descargado, el ciberdelincuente podría realizar diferentes acciones maliciosas en el dispositivo de la víctima.
Otros están configurados de tal forma que redirigen al usuario a otra página web, de contenido malicioso. Desde esta, se intentará engañar a la víctima para que descargue software malicioso.
Esta situación es peligrosa en cualquier caso, pero más aún cuando se trata de los dispositivos de empresa. La descarga de un malware puede llegar a comprometer la información confidencial del negocio, incluso llegando a exigir rescates económicos por ella (ransomware).
El contenido del anuncio puede variar, pero normalmente, los ciberdelincuentes hacen uso de la ingeniería social para atraer a sus víctimas: descuentos increíbles u oportunidades únicas, a través de un formato llamativo, que resultan no ser reales.
También son frecuentes los anuncios que informan de actualizaciones u otros avisos de seguridad y que, aunque puedan parecer legítimos, también contienen malware. De hecho, si lo pensamos bien, resulta irónico infectar nuestro dispositivo «sano» por hacer clic en un «Su equipo podría estar infectado».
En cualquiera de estos casos, los ciberdelincuentes utilizan un señuelo para perpetuar su ataque, es decir, necesitan de la interacción de la víctima, pero no siempre hace falta hacer clic para caer en su trampa. Los ataques Drive by Download funcionan de forma que resultan prácticamente imperceptibles para el usuario. Simplemente accediendo a la web donde está alojado el anuncio malicioso, los ciberdelincuentes podrían aprovechar vulnerabilidades en el navegador o el dispositivo para hacerse con el control del equipo de la víctima.
¿Cómo puede afectar el malvertising a mi organización?
La publicidad maliciosa va dirigida a cualquier usuario propenso a ser víctima de ella. Esto afecta también a las empresas, cuyos empleados navegan a menudo por Internet a través de los dispositivos de empresa. La descarga de malware en los equipos corporativos puede suponer un gran riesgo, pero no es la única forma en la que el malvertising puede afectar a una organización.
Además del papel de víctima, una empresa podría adoptar, sin saberlo, el de canal de ataque. Los ciberdelincuentes suelen utilizar la popularidad de empresas confiables para alojar la publicidad maliciosa en sus páginas web, y así atraer a más posibles víctimas.
También, a través de la ingeniería social, consiguen hacerse pasar por marcas conocidas y hacer un mal uso de ellas para perpetuar su ataque. En cualquier caso, formar parte de la cadena de este ataque puede significar para la organización pérdidas económicas, de clientes e inversores, e incluso llegar a incurrir en responsabilidades legales.
Pero, si esta técnica es cada vez más sofisticada, ¿cómo podemos distinguir la publicidad maliciosa de la publicidad real?
Para evitar caer en esta trampa, es esencial que todo el personal de la empresa esté concienciado y siga unas pautas básicas para diferenciar el malvertising de la publicidad real.
En general, se puede evitar caer en la publicidad maliciosa aplicando el sentido común. Los anuncios legítimos suelen provenir de una empresa legítima, una empresa conocida. Si no se puede identificar la fuente, probablemente se trate de publicidad maliciosa.
También es importante analizar el lenguaje y la forma del anuncio. En el malvertising, se suelen utilizar mensajes llamativos o alarmistas, intentando atraer la atención de la víctima. Es importante recordar que si es demasiado bueno para ser verdad, es mejor evitarlo.
Los ciberdelincuentes suelen recurrir al uso del pop-up, o ventana emergente, para llamar la atención de los usuarios hacia la publicidad maliciosa. Por lo general, es mejor cerrar directamente este tipo de anuncios y evitar hacer clic en ellos.
Por último, es importante comprobar la URL de la página web de destino. Los anuncios reales contarán con una URL sencilla, fácilmente identificable respecto al sitio web fiable. Si la dirección web resulta sospechosa, es preferible evitarla.
¿Qué medidas de protección podemos tomar para evitar ser víctimas de malvertising?
Es importante tener en cuenta una serie de buenas prácticas para evitar que los equipos de nuestra empresa se vean afectados por la publicidad maliciosa, poniendo en riesgo la seguridad de la organización.
- Verificar siempre la legitimidad de los sitios web que se visitan. Antes de acceder a cualquier sitio web, es imprescindible asegurarse de que se trata de una página legítima. Aunque estas también pueden contener publicidad maliciosa, algunas menos seguras son más propensas a estar infectadas.
- Mantener el software actualizado a la última versión. Como siempre repetimos, las vulnerabilidades de un software desactualizado suponen una puerta abierta a los ciberdelincuentes.
- Utilizar medidas de protección adecuadas. Además del antivirus y el cortafuegos, existen bloqueadores de anuncios en los navegadores que pueden filtrar, en gran parte, la publicidad maliciosa.
- No revelar nunca información personal a través de anuncios. Aunque pueda parecer provenir de una página web fiable, podría tratarse de un engaño.
- Concienciar a todos los empleados y formarlos para que aprendan a distinguir entre publicidad real y maliciosa.
Además, las empresas, cuya actividad está presente en la Red, deben preocuparse de que su página web no presente publicidad maliciosa. Si un usuario fuese víctima de malvertising a través de un anuncio alojado en la página web de una empresa, la reputación y credibilidad de la misma se vería gravemente afectada, pudiendo llegar a perder la confianza de los clientes.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).