Los ciberdelincuentes están al acecho, y esta vez tienen a los usuarios de Google Ads en la mira. ¿Cómo lo hacen? Muy simple (y peligroso): publican anuncios que parecen 100% legítimos, pero cuando haces clic, te llevan a páginas de inicio de sesión falsas que están diseñadas para robar tus credenciales, incluyendo contraseñas y códigos 2FA. Y lo peor es que muchas personas ni siquiera sospechan que algo anda mal… hasta que es demasiado tarde.
Seamos honestos, ¿quién no ha pensado alguna vez: "Bueno, si el anuncio está en Google, debe ser seguro"? Es algo que nos pasa a muchos. Confiamos en esos anuncios, especialmente cuando nos prometen descargas gratuitas, herramientas útiles o servicios para mejorar nuestro negocio. Pero esa confianza es justo el anzuelo que los atacantes están usando para quedarse con tus datos.
¿Cuál es el verdadero objetivo detrás de esta estafa en Google Ads?
Todo apunta a que los ciberdelincuentes detrás de esta campaña tienen un plan bien elaborado: robar credenciales de cuentas publicitarias y luego reutilizarlas para lanzar más estafas. Pero eso no es todo. También venden esos datos robados en foros clandestinos donde otros criminales los compran para sus propias actividades fraudulentas. Según reportes en foros como Reddit, Bluesky y hasta en los mismos foros de soporte de Google, esta amenaza lleva activa desde noviembre de 2024, y sigue creciendo.
El modus operandi no es nuevo. Es muy parecido a las campañas que utilizan malware ladrón para tomar control de cuentas comerciales en plataformas como Facebook, que luego son usadas para difundir aún más anuncios maliciosos. Pero esta vez, el ataque está centrado en Google Ads, y los ciberdelincuentes han encontrado una forma muy inteligente de hacerlo.
Primero, identifican a personas y empresas que buscan anuncios de Google Ads directamente en Google. Luego, les muestran anuncios falsos que parecen totalmente legítimos, pero que en realidad los redirigen a sitios fraudulentos alojados en Google Sites. Y aquí es donde empieza la trampa.
Estos sitios fraudulentos parecen inofensivos a primera vista, pero están diseñados para llevar a los usuarios a páginas de phishing externas. Una vez allí, los atacantes buscan capturar credenciales de inicio de sesión y, lo que es peor, códigos de verificación 2FA. Todo esto se hace mediante conexiones WebSocket, lo que les permite enviar la información robada en tiempo real a un servidor remoto que controlan los atacantes.
Lo más preocupante es que los anuncios falsos no provienen solo de cuentas creadas por los ciberdelincuentes. Según los expertos, algunas de esas cuentas secuestradas pertenecen a empresas reales, incluyendo un aeropuerto regional, y ya tenían cientos de anuncios legítimos en funcionamiento. Básicamente, los atacantes están usando cuentas de negocios reales para hacer que sus estafas parezcan aún más creíbles.
Esto no es solo un problema para las víctimas cuyos datos son robados, sino también para las empresas que, sin saberlo, están financiando campañas maliciosas que terminan propagando aún más el fraude. ¿La lección aquí? Nunca confíes ciegamente en un anuncio solo porque aparece en Google. La apariencia de legitimidad puede ser solo eso: una apariencia.
Una de las jugadas más astutas de esta estafa es cómo los atacantes se aprovechan de un detalle técnico en Google Ads: la plataforma permite que la URL visible del anuncio no sea exactamente la misma que la URL a la que llegas al hacer clic, siempre que los dominios coincidan. Esto les da a los ciberdelincuentes un pase libre para camuflar sus anuncios y engañar a las víctimas.
¿Cómo lo hacen? Alojan sus páginas maliciosas en sites.google[.]com (una herramienta legítima de Google) y muestran en los anuncios una URL visible que parece segura, como ads.google[.]com. Todo parece confiable, pero en realidad te están llevando a un sitio diseñado para robar tus datos.
Pero la trampa no se queda ahí. Los atacantes también usan técnicas avanzadas para evitar ser detectados, como huellas digitales para identificar a cada visitante, sistemas anti-bot para bloquear investigadores de seguridad, señuelos estilo CAPTCHA para parecer más legítimos, y ofuscación del código para ocultar su infraestructura de phishing.
¿Y qué hacen con tus credenciales una vez que las roban? Ahí viene lo preocupante: las usan para entrar a tu cuenta de Google Ads, agregar a un nuevo administrador (es decir, ellos mismos) y aprovechar tu presupuesto publicitario para lanzar sus propios anuncios maliciosos. Básicamente, te secuestran la cuenta y tú terminas pagando por anuncios que ellos usan para atraer más víctimas.
Todo esto suena bastante organizado, ¿no? Pues parece que no es solo obra de una persona. Según los investigadores, hay varias personas o grupos detrás de estas campañas, y lo curioso es que muchos de ellos hablan portugués y probablemente operan desde Brasil. Además, han montado su infraestructura de phishing usando dominios .pt, que corresponden a Portugal.
Podría interesarte leer: Lumma Stealer usa Anuncios y Captcha Falsos para Robar Datos
¿Por qué los anuncios maliciosos son tan difíciles de detectar?
El problema de fondo aquí es que, sorprendentemente, esta actividad maliciosa no rompe las reglas de publicidad de Google. Los atacantes pueden mostrar en sus anuncios URLs falsas que parecen legítimas, y eso los hace prácticamente indistinguibles de un sitio oficial. Lo preocupante es que, hasta ahora, Google no ha tomado medidas contundentes para bloquear estas cuentas comprometidas de forma inmediata, dejando la puerta abierta a que los estafadores sigan haciendo de las suyas.
Por si fuera poco, esto no se limita solo a Google Ads. Según un informe reciente de Trend Micro, los ciberdelincuentes están usando también plataformas populares como YouTube y SoundCloud para distribuir enlaces a instaladores falsos de software pirateado. ¿El resultado? Los usuarios descargan lo que creen que es un programa útil, pero en realidad están instalando malware como Amadey, Lumma Stealer, Mars Stealer, Penguish, PrivateLoader y Vidar Stealer, que se especializan en robar datos.
¿Y cómo logran que sus archivos pasen desapercibidos? Pues aquí viene otro truco: los atacantes aprovechan servicios conocidos y confiables de almacenamiento de archivos como MediaFire y Mega.nz para alojar sus descargas maliciosas. De esta forma, las víctimas no sospechan porque ven enlaces a sitios que reconocen. Además, muchos de estos archivos vienen protegidos con contraseña o están cifrados, lo que hace que sean más difíciles de detectar y analizar por las herramientas de seguridad. Básicamente, es como esconder un paquete peligroso dentro de una caja que parece perfectamente inofensiva.
Esta combinación de anuncios fraudulentos, plataformas populares y servicios de almacenamiento confiables está convirtiendo las estafas en un negocio rentable para los ciberdelincuentes. Al final, todo se reduce a una cosa: ellos saben exactamente cómo explotar la confianza del usuario y saltarse los controles de seguridad. Y si las grandes plataformas como Google no refuerzan sus medidas de protección, estas campañas seguirán creciendo.
