En este artículo conoceremos lo que es el malvertising, así como los riesgos que supone para las empresas. Además, comentaremos consejos para evitar ser víctimas del malvertising.
El malvertising, o publicidad maliciosa, consiste en introducir malware en la publicidad en línea. De esta forma, se consigue extender otro malware. Los ciberdelincuentes inyectan anuncios infectados en redes publicitarias legítimas. A continuación, estas redes muestran los anuncios en los sitios web en los que confía.
¿Por qué es una amenaza para las empresas?
El malvertising supone, hoy en día, una amenaza tanto para los usuarios como para las empresas. Además, cada vez es más sofisticado. Los ciberdelincuentes hacen los anuncios maliciosos de tal manera que, cuando el usuario pulsa sobre ellos, descargan malware en el dispositivo o redirigen a la víctima a una página web maliciosa.
Por otro lado, cabe destacar que todo esto se lleva a cabo sin que el usuario se dé cuenta. En las empresas, los empleados navegan por internet a través de dispositivos de empresa, por lo que, si llega malware a ellos, puede suponer un riesgo.
Además, hay otras formas por las que puede afectar el malvertising a la compañía. Estas ocurren cuando la empresa forma parte del canal de ataque sin darse cuenta. Un caso se da cuando los ciberdelincuentes utilizan la popularidad de la empresa para introducir los anuncios maliciosos en su página web. De esta forma, se atrae a más víctimas.
Otro caso se da cuando los estafadores se hacen pasar por marcas conocidas y hacen un mal uso de ellas para llevar a cabo el ataque.
Si la empresa forma parte del canal de ataque puede incurrir en pérdidas económicas, de clientes, de inversores, en responsabilidades legales o, incluso, en falta de confianza de los clientes por pérdida de reputación y credibilidad.
Formas de malvertising
Nos podemos encontrar con diferentes tipos de anuncios maliciosos en la red. En primer lugar, están los anuncios en forma de banner, que descargan automáticamente el malware en el dispositivo cuando se pulsa sobre ellos.
Como comentábamos anteriormente, otros están configurados para que redirijan al usuario a otra página web maliciosa. Esto puede ser muy peligroso si el dispositivo con el que accede el usuario es de la empresa, ya que la descarga de un malware podría comprometer información confidencial de la compañía.
En cuanto al contenido de los anuncios, lo más común es que los estafadores utilicen la ingeniería social para que las personas caigan en la trampa. Por ejemplo, son típicos los grandes descuentos u oportunidades.
Por otro lado, también existen los anuncios que informan sobre actualizaciones o sobre seguridad. Éstos pueden engañar mucho a la víctima ya que parecen legítimos, aunque no lo son.
Los ciberdelincuentes siempre necesitan la interacción de la víctima, sea cual sea el método de malvertising utilizado. No obstante, no siempre es necesario hacer clic en el anuncio para caer en la trampa. Existen los ataques drive by download, que funcionan sin que el usuario se dé cuenta, simplemente accediendo a la página web donde está el anuncio. En ese caso, los estafadores ya podrían aprovechar fallos en el dispositivo para hacerse con el control del equipo.
Consejos para evitar ser víctimas del malvertising
Lo fundamental es que todos los empleados de la empresa estén concienciados y sigan las pautas para diferenciar malvertising de publicidad real. Los anuncios legítimos provienen de empresas legítimas por lo que, si no se puede identificar a la compañía, es probable que sea malvertising.
Otra forma de saber si se trata de malvertising es analizando el anuncio, ya que la publicidad maliciosa suele contener mensajes alarmistas para atraer a las víctimas. También suelen aparecer como pop-ups, o ventanas emergentes, por lo que siempre es mejor cerrarlas y no pulsar sobre ellas.
Por otro lado, es importante comprobar que la url de la página de destino sea fiable, así como verificar la legitimidad de los sitios web que se visitan.
Otras medidas para evitar el malvertising son:
- Mantener actualizado el software para que no tenga vulnerabilidades.
- Utilizar antivirus y cortafuegos, así como bloqueadores de anuncios que filtran la publicidad maliciosa.
- No revelar información personal a través de anuncios.