Continua Leyendo...
Por Redacción - 16 Enero 2025
Los ciberdelincuentes han comenzado a explotar la plataforma de Google Ads para llevar a cabo campañas de phishing, con el fin de robar las credenciales de los anunciantes. Irónicamente, estos atacantes están utilizando los anuncios de búsqueda de Google para promover sitios falsos que imitan a la perfección la página de inicio de sesión de Google Ads. A través de esta táctica, se engaña a las víctimas para que ingresen su información personal, lo que les permite a los ciberdelincuentes acceder a sus cuentas y ejecutar una serie de actividades fraudulentas.
Los atacantes publican anuncios en la Búsqueda de Google que parecen ser legítimos, apareciendo como resultados patrocinados. Estos anuncios, sin embargo, no llevan a las víctimas a páginas seguras de Google, sino a sitios de inicio de sesión falsos creados en Google Sites, una plataforma que los delincuentes utilizan por su capacidad para disfrazar las URL. Estas páginas de phishing imitan la apariencia de la página de inicio de sesión oficial de Google Ads, solicitando a las víctimas que ingresen sus credenciales de Google. La clave de este engaño es que las URL de Google Sites (sites.google.com) coinciden con el dominio raíz de Google Ads (ads.google.com), lo que hace que estos sitios sean casi indistinguibles de los sitios legítimos, lo que facilita aún más la suplantación de identidad.
Según Jérôme Segura, director sénior de investigación de Malwarebytes, la razón por la cual los atacantes pueden eludir las medidas de seguridad de Google se debe a que los anuncios no infringen estrictamente las reglas de la plataforma. Google permite que los anuncios con URL de Google Sites aparezcan, ya que este dominio pertenece al ecosistema de Google. Esto hace que los ciberdelincuentes puedan burlar las restricciones y mostrar anuncios falsos que parecen legítimos. “No se puede mostrar una URL en un anuncio a menos que la página de destino coincida con el mismo nombre de dominio. Si bien esto es una regla diseñada para proteger contra el abuso y la suplantación de identidad, es muy fácil de eludir", explica Segura. "La URL en cuestión no infringe la regla, ya que sites.google.com utiliza los mismos dominios raíz que ads.google.com”.
El ataque sigue una secuencia meticulosa que se lleva a cabo en varias etapas. En primer lugar, la víctima ingresa sus credenciales de Google en la página falsa. El kit de phishing que se encuentra en esa página recopila información clave, como identificadores únicos, cookies y credenciales. Luego, la víctima podría recibir un correo electrónico que indica un inicio de sesión desde una ubicación inusual, como Brasil, lo que genera desconfianza y preocupación. Si la víctima no actúa con rapidez, los atacantes pueden agregar un nuevo administrador a la cuenta de Google Ads utilizando una dirección de correo electrónico distinta. Este paso les da control completo sobre la cuenta y les permite realizar gastos fraudulentos en campañas publicitarias. Los atacantes, además, pueden excluir a las víctimas de sus cuentas, de modo que no detecten la intrusión y el abuso de su cuenta.
Estos ataques están siendo llevados a cabo por al menos tres grupos de ciberdelincuentes, que operan desde diferentes partes del mundo. Se sabe que algunos de estos grupos están localizados en Brasil, y otros parecen ser originarios de Asia, utilizando cuentas de anunciantes de Hong Kong o China. También se ha identificado una tercera banda que probablemente opera desde Europa del Este. Lo que buscan estos delincuentes es robar las cuentas de Google Ads, para luego venderlas en foros de piratería o utilizarlas para realizar futuros ataques. Malwarebytes Labs, que ha estado monitoreando esta campaña de phishing en curso, ha alertado que el objetivo final de los atacantes es usar las cuentas robadas para seguir llevando a cabo fraudes publicitarios y difundir malware.
El ataque es alarmante debido a su escala y sofisticación, y podría estar afectando a miles de anunciantes en todo el mundo. Según Malwarebytes, esta operación de publicidad maliciosa es una de las más graves que se han detectado, ya que no solo ataca a Google, sino también a los clientes de la plataforma. Los ataques continúan ocurriendo de forma regular, con nuevos incidentes identificados incluso en el momento de la publicación del informe. La plataforma de Google Ads, que maneja miles de millones de dólares en publicidad cada año, se ha convertido en un objetivo lucrativo para los ciberdelincuentes, quienes utilizan estas cuentas robadas para financiar otros tipos de fraudes.
Uno de los puntos más críticos de este ataque es que las víctimas a menudo no son conscientes de que han sido engañadas. Las empresas que invierten en campañas publicitarias en Google Ads son especialmente vulnerables, ya que muchas de ellas no utilizan bloqueadores de anuncios, lo que les permite ver sus propios anuncios y los de sus competidores. Este hecho, irónicamente, las hace aún más susceptibles a caer en estos esquemas de phishing, ya que los atacantes pueden aprovecharse de la visibilidad de los anuncios para llevar a cabo el fraude.
A pesar de los esfuerzos de Google para detener estos ataques, el problema persiste. En 2023, Google bloqueó o eliminó más de 206,5 millones de anuncios por violar su política de tergiversación. Además, la compañía eliminó más de 3.400 millones de anuncios fraudulentos, restringió más de 5.700 millones y suspendió más de 5,6 millones de cuentas de anunciantes que incumplían las políticas. A pesar de estas medidas, los atacantes siguen encontrando nuevas formas de eludir los sistemas de seguridad de la plataforma, lo que ha llevado a Google a seguir investigando y tomando medidas para solucionar el problema.
A medida que los ciberdelincuentes continúan perfeccionando sus técnicas de phishing y suplantación de identidad, se hace evidente que la lucha contra este tipo de fraudes es cada vez más compleja. Las empresas y usuarios de Google Ads deben estar más atentos que nunca y ser conscientes de los riesgos asociados con estos ataques. La protección contra el phishing y otros tipos de fraudes publicitarios es esencial, y es probable que Google continúe fortaleciendo sus defensas en el futuro para proteger tanto a los anunciantes como a los usuarios de su plataforma.
