Malvertising: el peligro que acecha en los banners

Con el paso de los años, Internet se ha convertido en un medio de gran alcance con un potencial ilimitado para el marketing, consolidando al banner como el formato publicitario por excelencia apareciendo al lado, por encima o por debajo del contenido en las páginas web y, por lo general, incluyendo un enlace a la marca. Desde hace algún tiempo, los denominados cibercriminales vienen apropiándose con creciente frecuencia de este tipo de publicidad en beneficio de sus dudosos intereses, secuestrando anuncios “inofensivos” para infectarlos durante semanas y meses con software pernicioso que pasa inadvertido. En el sector especializado esto se conoce como malvertising y sitúa a los profesionales del marketing ante un importante desafío.

Si quieres saber qué es el malvertising, cómo funciona y cómo puedes proteger tu ordenador, sigue leyendo.

El término en sí es un juego de palabras entre “malware” (software malicioso) y “advertising” (publicidad), lo que, en parte, ya denota su sentido. El propósito de este tipo de software es infectar un ordenador o una red por medio de banners publicitarios previamente manipulados. Para ello, los cibercriminales cuentan con diversos métodos y la infección de páginas aisladas es tan factible como la captura de toda una red publicitaria con la consiguiente expansión a gran escala del código malintencionado.

Cuando un usuario desprevenido hace clic en uno de estos banners, desencadena la ejecución automática de scripts, aplicaciones Flash o cualquier otro tipo de programa dañino que infecta su ordenador con virus o troyanos. A menudo, se conduce a la víctima a páginas web poco fiables o incluso manipuladas y en ocasiones basta con abrir la página donde se ha colocado un banner infectado para contagiarse (en este caso se habla de “drive-by download”).

Con objeto de difundir malvertising, los criminales utilizan incluso las páginas web más conocidas, por lo que esta actividad puede, en principio, afectar a cualquier página que alquila espacios publicitarios. Un caso actual sucedido en Estados Unidos lo demuestra claramente: expertos en seguridad avisaron en 2016 que plataformas renombradas como AOL, BBC o el New York Times habían sido infectadas por malvertising en una ofensiva que distribuía el denominado Angler Exploit Kit, un software que aprovechaba sistemáticamente las brechas de seguridad de Adobe Flash y Microsoft Silverlight para enviar el troyano de ransomware TeslaCrypt a sus víctimas. A principios de 2016, la página de MSN también fue víctima de esta campaña y, solo con ella, los criminales lograron un enorme alcance, incluso cuando el banner solo se mostró a unos pocos usuarios y una porción menor de ellos hizo clic en él.

Otra cifra que muestra aún más claramente el nivel de urgencia que ha adquirido la amenaza del malvertising es que en 2016, según un sondeo de RiskIQ, se pudo determinar un aumento de malvertising de un 132 % respecto al año anterior. A partir del análisis de dos mil millones de anuncios se confirmó que uno de cada 250 anuncios estaba infectado.

Con el contagio de páginas reputadas y muy visitadas, los criminales matan dos pájaros de un tiro: por un lado, aprovechándose de la buena reputación de las webs, sus anuncios parecen más fiables y, por el otro, alcanzan visiblemente a más víctimas, pues mientras que en los albores de la World Wide Web el software dañino se distribuía principalmente en páginas con contenido pornográfico o delictivo (piratería, etc.), hoy también es el internauta corriente el que está en el objetivo criminal.

El malvertising puede infectar un equipo por diferentes vías. Puede ser una acción de un usuario la que ocasione la infección o ejecutarse de forma automática y con frecuencia se aprovecha de brechas de seguridad del navegador, de los plugins instalados y del sistema operativo. Las versiones obsoletas del software son especialmente vulnerables a este tipo de contagios, así como el código Flash, cuyos fallos de seguridad son muy golosos para los cibercriminales, lo que entre otros motivos ha llevado a que cada vez menos administradores web lo utilicen y lo vayan sustituyendo por los nuevos estándares HTML5.

Un posible desencadenante de una infección por malvertising es el inocente clic de una víctima sobre un anuncio contaminado (“post-click”). Es en este momento, y sin que el afectado tenga una mínima posibilidad de reaccionar, cuando se ejecuta el código malicioso, se redirige al usuario a una página web infectada o se inicia una descarga, escondiendo el malware a menudo en archivos de Flash. El malvertising es un instrumento de difusión de todo tipo de malware. Desde los clásicos virus hasta el spyware o los keyloggers (que espían los datos de sus víctimas) pasando por el ransomware, cada vez se es testigo con mayor frecuencia del contagio del denominado scareware, que aterroriza o intimida a la víctima de tal forma que lo mueve a realizar alguna acción precipitada y poco reflexionada.

A la inversa, es decir, antes incluso de que el usuario haga clic en un anuncio (“pre-click”) ya se puede ejecutar un script inesperado. En este caso, el código se ejecuta por drive-by download, algo así como “descarga de paso” y también aquí las formas más diversas de malware pueden infectar el ordenador del usuario y hacerle la vida muy difícil.

Además de “hackear” páginas web y de manipular banners publicitarios, los ciberdelincuentes han encontrado otro método mucho más efectivo para introducir malvertising en plataformas reconocidas: las redes publicitarias. Estas actúan como mediadoras entre los publicistas y los soportes publicitarios en cuyas páginas se alquila el espacio para anuncios y la facilidad con que se puede entrar en ellas sirve a los delincuentes para sus propósitos. Para un publicista, introducirse en una de estas redes es muy sencillo, pues muchas ni siquiera disponen de mecanismos de revisión o control y publicar un anuncio en ellas constituye algo tan fácil como abrir una cuenta y pagar la tasa correspondiente. La publicidad programática permite que los anuncios se coloquen de forma automática, siguiendo un procedimiento de subasta en tiempo real, en los lugares más relevantes para su público objetivo sin ninguna instancia que supervise lo que se publica, cómo y dónde.

Esto es precisamente lo que permite que el malvertising pueda alcanzar a millones de usuarios durante semanas o incluso meses antes de que se descubra la trampa, cuando para muchos ya es demasiado tarde. Y si los cibercriminales han abierto sus cuentas con datos falsos, perseguir tales delitos resulta aún más complejo. A menudo la trama comienza con un robo de identidad, por el que se espían y utilizan datos robados con motivos criminales, de tal forma que los verdaderos artífices permanecen en el anonimato y pagan la publicidad con tarjetas ajenas.

Dado que el malvertising también puede difundir virus y programas dañinos en páginas web serias y reconocidas, cualquier usuario está en riesgo, lo que no significa que sea inevitable sucumbir a él. Una medida imprescindible de protección en todos los casos es tener instalado en el equipo un buen programa antivirus. Los mejores programas con protección en tiempo real garantizan frenar cualquier tipo de acceso externo e impedir la ejecución no autorizada de programas maliciosos. Visita nuestra selección de programas antivirus si quieres saber más. Igualmente necesario en cualquier caso es el cortafuegos, que protege de cualquier intento de acceso no autorizado desde la red.

Con todo, la condición indispensable para una protección medianamente fiable es que el antivirus esté actualizado y cuente con las correspondientes actualizaciones. Lo mismo se puede decir del cortafuegos, del sistema operativo, del explorador y, en algunos casos, también de los plugins, dado que los virus y troyanos transmitidos por malvertising utilizan las vulnerabilidades del software sin piedad y solo las versiones actuales de los programas cuentan con las actualizaciones de seguridad provistas por los fabricantes que podrían haberlas resuelto ya. Esto permitiría, al menos, minimizar el riesgo de contagio.

Otro tipo de protección es el ofrecido por algunas extensiones del navegador. La extensión “NoScript” de Firefox, por ejemplo, bloquea la ejecución de JavaScript, Flash y Silverlight de forma estándar y Frames y iFrames de forma opcional. Con este plugin (u otros similares) se puede evitar el llamado Cross-Site-Scripting (XSS) y con él muchas otras formas de malvertising. Por XSS se conoce la entrada de código dañino en redes que se daban por fiables a través de vulnerabilidades. La extensión NoScript permite elaborar una “whitelist” con excepciones temporales al bloqueo.

Con todo lo dicho, no cabe duda de que debería evitarse por completo la instalación de plugins como el mencionado de Adobe Flash por sus múltiples fallos de seguridad, pero si no es posible prescindir de ellos, entonces conviene activar la función “Clic to pay” en el navegador, por medio de la cual los plugins solo se inician si se confirma su ejecución expresamente.

Por último, no podemos dejar de mencionar a los bloqueadores de anuncios o adblockers, los cuales impiden la aparición de banners publicitarios, ventanas emergentes, etc., y de alguna manera también ofrecen una protección extra, porque bloqueando todos los tipos de publicidad también se esquiva cualquier tipo de malvertising. En muchos casos, esto evita el malvertising “post-click”, porque el código solo se ejecuta después de hacer clic en el anuncio envenenado. Sin embargo, los bloqueadores de anuncios cuentan con una desventaja y esta es su mala fama en algunos sectores, como el periodístico, dada la dependencia financiera de la publicidad por parte de un gran número de páginas. La activación de un adblocker podría tener como consecuencia no poder visualizar el contenido de una página hasta desactivarlo. Eso sí, conviene saber que los adblockers también permiten incluir ciertas páginas en una lista blanca de excepciones.

La expansión creciente del malvertising en la web también influye en el marketing online. Mientras que publicar en páginas potentes y a medida de la audiencia fue durante mucho tiempo una práctica probada para llegar a las personas y despertar su atención, hoy la confianza en este instrumento decae por culpa del malvertising. Con ello se dispara una tendencia imparable, precisamente el escepticismo en aumento ante cualquier tipo de publicidad en banners. Muchos usuarios utilizan los adblockers para evitar la publicidad más molesta, por privacidad, por rendimiento y no menos por seguridad como medida de protección ante el malvertising. Todo esto se añade a la ya de por sí creciente ceguera a banners o banner blindness, un término que define al fenómeno, cada vez más usual, por el que los usuarios ignoran inconscientemente la publicidad en banners más clásica por haberse acostumbrado a un contenido que no le interesa en lo más mínimo. Todos estos cambios hacen necesaria una reflexión en el epicentro del marketing.

Reaccionar como corresponde a estas tendencias conlleva idear medidas de marketing y formas publicitarias innovadoras que permitan ganarse la confianza del cliente de forma duradera. Por mencionar solo unas pocas de las múltiples opciones que ofrece el mix de marketing online: el contenido, cuando tiene valor, ofrece una posibilidad tan efectiva de atraer la atención de los clientes potenciales sobre la oferta como el storytelling. La publicidad nativa (advertorials, entradas patrocinadas) segmentada en blogs y páginas de cierta reputación es un ejemplo de cómo se puede recuperar la confianza del consumidor, dado que el buen contenido se distribuye por las redes sociales y cuando lo comparten otros usuarios se registra antes que un banner publicitario (identificando adecuadamente a estas publicaciones como publicitarias so pena de perder credibilidad). De la mano de estos métodos, el marketing de influencers se ocupa de encontrar embajadores de una marca que la representen a ella y a sus productos en las redes sociales. Finalmente, SEO y SEA son las disciplinas con las cuales atraer la atención del consumidor en los buscadores.

En definitiva, mientras que el malvertising debilita al banner como instrumento de marketing, exige a los profesionales del marketing aún más creatividad y hace necesaria la aplicación de nuevas formas de comunicación. Con ello, el malvertising tiene una influencia directa en el mundo del marketing online, ya que resta fuerza al efecto de una forma publicitaria que hasta hace poco estaba totalmente legitimada.