Cuidado dónde pinchas en Google: estos virus se están colando en los primeros resultados

Un ‘malware’ está apareciendo en los anuncios de las primeras páginas del buscador. Las víctimas piensan que están descargando un programa, pero en realidad les están robando

«Anoche, mi patrimonio digital fue vulnerado. Todas mis cuentas personales y profesionales fueron pirateadas y utilizadas para perjudicar a otros». Con esa frase, un creador de contenido sobre el mundo de los NFT reconocía hace unos días que había sido víctima de un ataque que le había robado también buena parte de sus ahorros. Él ni siquiera había hecho nada raro. Fue tan simple como buscar en Google un software gratuito que quería utilizar, pinchar en los primeros resultados y ejecutar el archivo que se había descargado. En principio, parecía que no había sucedido nada, pero después se dio cuenta de que había caído en la trampa y le habían colado un troyano.

Se trata de un tipo de amenaza que lleva semanas en auge y para la que los atacantes no han necesitado comprometer o buscar una brecha en los sistemas de Google, sino hacer algo mucho más simple: comprar anuncios para que aparezcan en los primeros resultados del motor de búsqueda. Es algo que consiguen a través Google Ads, el servicio que coloca publicidad en la parte superior de la web cuando buscas algo y que es uno de los pilares del negocio de la tecnológica, que se lleva una comisión por cada clic.

El FBI ya ha tenido que lanzar una alerta al respecto. «Hay una distinción mínima entre lo que es publicidad y un resultado de búsqueda real», explican en la agencia estadounidense, donde destacan que, además, crean una web «idéntica a la oficial». Ambas circunstancias están haciendo que cada vez más gente caiga en este engaño.

Foto: Foto: Getty/Patrick Lux.

Este tipo de ataque está afectando, sobre todo, a software de código abierto, donde los desarrolladores no suelen desembolsar el dinero necesario para aparecer antes que nadie. Es ese hueco el que ahora están explotando los atacantes, que están haciendo el agosto utilizando como reclamo programas como WinRar, VLC, 7-Zip, CCleaner, Rufus, Bitwarden u Open Broadcaster Software, que era la herramienta que trataba de descargar NFT God, el creador de contenido al que le robaron casi todo lo que tenía en su ordenador.

Así, una vez se baja el archivo de una de estas webs falsas y se abre en el ordenador, ya poco se puede hacer. El troyano está dentro para robar tanto como pueda. «Generalmente, buscan hacerse con credenciales, lo que se conoce como stealer. Tenemos la mala costumbre de compartir usuario y contraseña en muchos sitios, así que lo buscan como formada de entrada, por ejemplo, a tu red profesional. A partir de ahí, pueden detonar un ransomware, que es un negocio gigantesco», resume José Rosell, director de la empresa de ciberseguridad S2 Grupo.

placeholder(Reuters/Francois Lenoir)
(Reuters/Francois Lenoir)

Estos ataques, cabe recordar, consisten en el robo de información valiosa, sensible o confidencial, de modo que luego se usa para la extorsión. En el caso de NFT God, se hicieron con todas las contraseñas de sus plataformas digitales. A partir de ellas, lanzaron ataques de suplantación de identidad (phishing) a sus allegados. Además, uno de los aspectos más dañinos fue que también lograron robar su cartera de criptomonedas y parte de sus NFT, ya que consiguieron entrar en su cuenta en OpenSea y cambiar de manos algunos de sus archivos.

Por su parte, Rosell destaca que los ataques de ransomware han ido evolucionando hasta hacerse más dañinos, sobre todo, cuando se dirigen a organizaciones. «Primero, consistía en una simple extorsión a la empresa, a la que amenazaban con borrar la información que les robaban. Después, en exigir un pago por no publicarla. Ahora estamos viendo que, además, también piden dinero a los clientes de la empresa cuyos datos han sido comprometidos», desarrolla.

El papel de Google

En las últimas semanas, varias investigaciones que han alertado sobre el crecimiento de este tipo de anuncios fraudulentos en Google. En el caso de Bleeping Computer, un medio especializado, fueron ellos mismos los que alertaron a la tecnológica de que decenas de campañas de este tipo estaban pululando en su servicio de anuncios. «Probablemente, sea una locura, pero… ¿Qué pasaría si, antes de enviar un enlace de publicidad pagada a los clientes, Google comprobara con la web VirusTotal, propiedad de Google, que no distribuyen malware conocido?», les ha afeado Will Dormann, un analista de ciberseguridad especializado en vulnerabilidades.

«Estas operaciones tienen un coste para los atacantes, pero también son bastante rentables. Están abusando de una funcionalidad y debería ser Google quien ejerciera más control«, comenta una fuente de la industria, que prefiere que su nombre no aparezca en este artículo. «Es difícil controlar que la página ofrezca o no malware, pero Google está siendo demasiado reactivo, porque podría actuar más rápido. Lo problemático es que está siendo muy persistente en los últimos días», incide.

«Contamos con sólidas políticas que prohíben los anuncios que intentan eludir nuestra aplicación disfrazando la identidad del anunciante y haciéndose pasar por otras marcas, y las aplicamos con firmeza», responden desde Google a las preguntas de este periódico, donde aseguran que han «revisado los anuncios en cuestión» y «tomado las medidas oportunas»

Sea como sea, lo cierto es que están siendo eliminados por las denuncias de usuarios, pero siempre acaban encontrando un nuevo sitio por el que aparecer. «Según se crean herramientas para bloquearlos, se inventan nuevas técnicas, como ocurre con los antivirus. Es una carrera sin fondo», asegura Rosell, que defiende que «este problema no es solo cosa de Google». «Muchos usuarios repiten las mismas contraseñas en distintos sitios, y eso también agrava el problema. La solución pasa por un trabajo mixto», concluye.