Una nueva campaña de phishing está poniendo en la mira a los profesionales del SEO, utilizando anuncios falsos de SEMrush en Google para robar las credenciales de sus cuentas. Detrás de esta estafa, parece haber un grupo de ciberdelincuentes que buscan acceder a cuentas de Google Ads, con el fin de lanzar sus propias campañas publicitarias maliciosas.
Este tipo de ataque, conocido como “fraude en cascada”, se ha vuelto cada vez más común. De hecho, en enero se detectó una operación similar en la que se usaron anuncios falsos alojados en Google Sites para atacar cuentas de Google Ads.
Parece que los delincuentes detrás de esto han cambiado de táctica, adoptando un enfoque menos directo, pero igual de efectivo. En esta ocasión, los estafadores están aprovechando la imagen de SEMrush, una reconocida plataforma de marketing digital muy usada para SEO, publicidad online, marketing de contenidos y análisis de la competencia.
.webp?width=543&height=699&name=ads(2).webp)
Resultados de búsqueda maliciosos (Fuente: Malwarebytes)
SEMrush es una herramienta muy popular entre profesionales del marketing digital, anunciantes, tiendas en línea e incluso grandes empresas, incluyendo un buen porcentaje de las que figuran en la lista Fortune 500.
Como esta plataforma se conecta con Google Analytics y Google Search Console, sus usuarios suelen vincular cuentas de Google que almacenan información valiosa, como métricas de ingresos, estrategias de marketing y datos sobre el comportamiento de los clientes. Todo esto la convierte en un blanco muy atractivo para los ciberdelincuentes.
Detrás de esta campaña parece estar un grupo de amenazas brasileño especializado en atacar plataformas SaaS (software como servicio), que ahora ha comenzado a usar una técnica especialmente astuta.
El principal objetivo de los estafadores son las cuentas de Google, pero si no logran acceder a ellas, también les resulta valioso robar credenciales de plataformas SaaS. De hecho, si una cuenta empresarial de Google estuvo vinculada previamente, es posible que los atacantes logren extraer datos sensibles sin necesidad de acceder directamente a la cuenta.
La estafa de los anuncios falsos de SEMrush
En esta nueva campaña, los ciberdelincuentes están utilizando Google Ads para mostrar anuncios maliciosos que imitan a SEMrush cuando los usuarios buscan términos relacionados con esta herramienta.
Si alguien hace clic en uno de esos anuncios, es redirigido a un sitio web falso que se ve casi idéntico a la página real de SEMrush. La trampa está en el dominio: aunque incluye el nombre "semrush", termina en algo distinto a ".com", lo que delata que no es el sitio oficial. Algunos de los dominios maliciosos que se han detectado incluyen:
- semrush[.]click
- semrush[.]tech
- auth.seem-rush[.]com
- semrush-pro[.]co
- sem-rushh[.]com
Curiosamente, aunque muchos de estos sitios siguen activos, no todos muestran la página falsa de phishing. Esto sugiere que los atacantes están seleccionando cuidadosamente a sus víctimas, posiblemente según su ubicación geográfica u otros factores.
.webp?width=1226&height=1387&name=phishing-page(1).webp)
La página de inicio de sesión falsa está diseñada para parecerse a la de SEMrush, pero hay una diferencia clave: no permite usar las opciones de inicio de sesión habituales. En cambio, obliga a los visitantes a acceder exclusivamente con la opción "Iniciar sesión con Google".
El problema es que, al ingresar sus credenciales de Google, esa información va directa a manos de los ciberdelincuentes. Como muchas cuentas de SEMrush están vinculadas con Google Analytics y Google Search Console, los atacantes pueden acceder a datos comerciales muy sensibles sin necesidad de hackear la cuenta de SEMrush en sí.
Información accesible tras el compromiso
El problema con los anuncios maliciosos en Google sigue siendo preocupante, y parece que la solución no está en manos de quienes trabajan directamente en la empresa.
Según explican expertos en ciberseguridad, resolver este asunto requiere decisiones importantes a nivel directivo. Aunque algunas personas dentro de Google están conscientes del riesgo que representan estos anuncios fraudulentos, su respuesta suele ser la misma: "Solo soy una pieza más en una máquina enorme".
El verdadero desafío es que quienes están en contacto directo con este problema no tienen el poder de tomar decisiones clave. Hacen su mejor esfuerzo, pero eso no basta. Y tratándose de una empresa del tamaño de Google, que cuenta con tecnología avanzada basada en inteligencia artificial, este tipo de fallos resulta preocupante.
A pesar de esto, hay que reconocer que Google suele actuar con rapidez cuando se le informa sobre este tipo de amenazas, eliminando los anuncios maliciosos relacionados con estas campañas de phishing.
Conoce más sobre: Hacker Expone Datos Bancarios de App Mexicana Rechazada en Shark Tank
¿Cómo protegerte de estas estafas en Google Ads?
- Evita hacer clic en resultados patrocinados si puedes acceder directamente al sitio desde tus marcadores o escribiendo la URL manualmente.
- Verifica siempre la dirección web antes de iniciar sesión en cualquier plataforma.
- Usa un gestor de contraseñas, ya que estas herramientas solo completan automáticamente tus credenciales en el dominio correcto, ayudándote a identificar páginas falsas de inmediato.
Estas precauciones pueden marcar la diferencia y mantener tus datos seguros.
