¿Qué es el “malvertising”?

“Malvertising” es un término ambiguo, que en inglés hace referencia a la publicidad online maliciosa. Algunos anuncios infectan con malware y otros rastrean el comportamiento de los usuarios

Los términos “malvertisements” o “malvertising” hacen referencia a la variedad de publicidad online que se utiliza para propagar malware. No obstante, la definición está ya anticuada, dado que el uso del término ha cambiado. Es fácil llamar maliciosa a toda publicidad que dirige el usuario al malware, pero diferenciar entre la publicidad fraudulenta y legítima online es otra cosa.

Por ejemplo, muchos usuarios categorizan como maliciosa o fraudulenta a mucha publicidad que de hecho es legal, a la vez que es posible que exista publicidad inofensiva que las redes marcan como maliciosa o fraudulenta por razones técnicas. No obstante, es verdad que hay mucha publicidad online que es, sin duda, maliciosa.

Empecemos con la publicidad claramente maliciosa:

La publicidad maliciosa más fácil de identificar, dado que es aquella que dirige al usuario a páginas que le infectan con malware, o le instalan un software no deseado. El usuario será inmune a estos ataques, solo en caso de tener ya instalado un antivirus que sea capaz de bloquear la infección. Los usuarios cuyos equipos tienen sistemas operativos y navegadores anticuados se exponen a este y otros tipos de infección.

“Las webs afectadas no han sido comprometidas, pero son víctima del “malvertising”. Con esto queremos decir que un proveedor de anuncios que trabaja con una pequeña parte de una web, ofrece publicidad maliciosa con la intención de infectar a los usuarios con malware.”

El software malicioso puede tener varias funciones. Si se trata de un malware, podría contener un keylogger que roba las claves de acceso u otros datos confidenciales de los susuarios; podría llevar a los usuarios a una Botnet; podría ser un banking trojan; podría ser un antivirus clandestino, ransomware como CryptoLocker o cualquier otro tipo de malware. Un ejemplo reciente es el caso de la red de publicidad AppNexus, que fue acusada de enviar “malvertisements” a las páginas web de TMZ y Java.com entre otros.

“Estas páginas web no han sido comprometidas, pero si han sido víctimas del malvertising”, nos dice la empresa de seguridad Fox-IT. “Con esto queremos decir que un proveedor de anuncios, que trabaja con una parte pequeña de una web, publica publicidad maliciosa con la intención de infectar a los usuarios con malware.”

Este tipo de malvertisement es fácil de identificar, y se considera universalmente ilegal.

Ahora, los más difíciles de identificar:

Como ya se ha explicado, los malvertisements no tienen por qué ser considerados necesariamente “ilegales” en todo el mundo. Podrían instalar una cookie de “tracking/seguimiento” en tu equipo sin permiso, instalar un software legítimo sin que lo hayas aprobado previamente o podrían recaudar de manera clandestina los datos de los usuarios o de alguna manera sobrepasar los límites de lo que está permitido.

Este tipo de publicidad online maliciosa o fraudulenta está mal vista. En la mayoría de los casos, una red de publicidad puede suspender su actividad u obligar que se cambien para cumplir con los requisitos necesarios. Algunas redes de publicidad no tienen muy claras las reglas generales y por tanto permiten a cualquier tipo de publicidad y en cambio, otras sí monitorizan el contenido de manera más efectiva. En la mayoría de los casos, los investigadores y los medios de comunicación encontrarán y expondrán las redes que incumplen las normas. A veces la presión hace que se cambien las cosas, otras veces no se consigue cambiar nada.

Existe la opción de elegir no participar en redes de publicidad específicas, aunque hacerlo es complicado, y quién sabe si alguien presta atención de verdad a estas listas.

Ahora toca la publicidad que parece claramente fraudulenta:

Aquí tenemos sin duda la categoría más complicada, pero casi todos sabrán a qué me refiero. Este tipo de publicidad promociona medicamentos y trucos imposibles y ofrecen trabajos en los que se ganan miles de dólares al mes trabajando desde casa. Algunas afirman cosas como “¡no te vas a creer lo que hizo [esta persona]!” Otros anuncios exageran sus referencias a tu historial online o a nuevas normas que te afectarán de alguna manera.

Es verdad que algunos anuncios de este tipo se dirigen a empresas inocentes, aunque los anuncios no son del todo legítimos. Sin embargo, alguien de la empresa ha decidido que son apropiados.

A principios de 2012 escribí una historia que sirve para ejemplificar esta situación: una empresa de seguridad categorizó a CounterClank como un tipo de malware de Android, mientras que otra empresa lo llamó una red de publicidad agresiva. Al final no importa quién tenía razón: como sucede con mucha publicidad online, el aspecto “malicioso” es cuestión de perspectiva.

¿Cómo puedes protegerte?

No hagas clic en publicidad sospechosa, ni siquiera si muestran imágenes de gente atractiva o avisos útiles, u ofrecen dinero rápido u otras soluciones mágicas. Mi consejo es que hagas click solo en los anuncios de aquellas cosas que te gustaría comprar. Si te ofrecen algo en un anuncio, piénsatelo dos veces, porque la publicidad normalmente intenta que compres algo.

Consejos