Imagínese esto: un empleado de una empresa hace clic en lo que parece ser un anuncio verificado de una marca confiable en Google. Pero el anuncio no está verificado: está falsificado de manera creíble y redirecciona a un dominio controlado por estafadores.
La marca original no tiene idea de que están siendo imitadas, no tiene antecedentes de una violación de seguridad y los propios revisores de Google nunca han visto contenido malicioso. Sin embargo, los empleados involuntarios ingresan a entornos “confiables” e inician sesión o descargan software comprometido, creando una filtración explotable de origen desconocido.
Director ejecutivo y fundador de Fraud Blocker.
Una estafa descubierta recientemente ha hecho esto durante años encubriendo anuncios falsos y engañando a la plataforma publicitaria más grande de Internet para que los publique. Es el último de una tendencia creciente en la escala del fraude publicitario armado, una estafa que no sólo agota los presupuestos de marketing sino que también amenaza la ciberseguridad.
El artículo continúa a continuación.
Cada vez más, la pila de anuncios empresariales es una superficie de ataque y los equipos de seguridad y marketing deben abordarla como una sola para contraatacar.
El fraude publicitario es ahora un problema de seguridad
En febrero, los investigadores anunciaron el descubrimiento de 1Campaign, un conjunto de herramientas criminales totalmente administrado para publicidad maliciosa, phishing y robo de credenciales. La herramienta de encubrimiento engaña a Google para que apruebe anuncios maliciosos mostrando contenido diferente a diferentes espectadores.
La plataforma de fraude como servicio perfila a cada visitante (en función de aspectos como el rango de IP, la ubicación geográfica y los patrones de comportamiento) para determinar qué verán a continuación.
Los investigadores de seguridad, los revisores de plataformas publicitarias y los escáneres automatizados fueron inmediatamente marcados y dirigidos a una página blanca inocua.
Por otro lado, los usuarios comunes fueron canalizados hacia donde los malos actores querían, usando anuncios disfrazados de marcas confiables y creíbles para obtener clics que conducían a descargas de páginas de phishing, drenajes de criptomonedas y software falso que entregaba malware.
Este esquema es parte de un patrón inquietante. Impulsados por la IA, los estafadores publicitarios están equipados tecnológicamente para hacer más con menos y atacar a escala. Esto es algo que vimos en septiembre pasado cuando el malware se escondió detrás de aplicaciones legítimas en Google Play Store y convirtió los dispositivos de los usuarios en granjas de clics fantasma.
Los robots ahora participan en publicidad como los humanos (pausando el contenido, imitando el desplazamiento, imitando el comportamiento de visualización) y dificultando la detección. En cambio, los especialistas en marketing están luchando contra una pérdida de alrededor de cinco dólares cada uno por datos de campaña maliciosos, métricas de clics infladas y fraude publicitario.
Las redes publicitarias están librando una batalla perdida
1Campaign es el último de una serie de ataques que utilizan la publicidad de los estafadores como arma, evitando la detección y, en última instancia, comprometiendo la seguridad. Se trata de una triple amenaza con graves consecuencias en toda la empresa. Una de las principales razones por las que las estafas tienen éxito es porque el marketing y la seguridad no se comunican entre sí.
La seguridad no consiste en observar las pilas de anuncios y el marketing no señala el tráfico anormal como un problema de seguridad. Los malos actores saben que los dos han sido silenciados y están explotando el vacío legal, cooptando silenciosamente marcas confiables y abriendo puertas traseras que ninguna de las partes está monitoreando.
Peor aún, incluso las plataformas publicitarias tienen dificultades para mantenerse al día. 1La campaña pasó desapercibida durante varios años, evitando con éxito los métodos de detección tradicionales y eludiendo el proceso de revisión de anuncios. En algunas campañas documentadas, la tasa de éxito del plan para bloquear los escáneres de seguridad ha alcanzado el 99%.
Nuestra investigación refuerza que las plataformas publicitarias están librando una batalla perdida: las tasas de clics no válidos de fuentes independientes son casi un 50% más altas que las estadísticas reportadas por Google, lo que sugiere que muchos clics falsos aún quedan desapercibidos.
Es la nueva normalidad para el fraude publicitario y las empresas que dependen únicamente de las defensas de la plataforma y departamentos dispares están divulgando tanto su inversión publicitaria como su postura de seguridad.
El marketing y la seguridad deben ir de la mano
Ambas partes deben dar un paso al frente y detener esta amenaza. Por motivos de seguridad, esto se puede lograr tratando el tráfico publicitario anormal como un indicador de amenaza potencial en lugar de simplemente un problema de marketing. En particular, esté atento a las señales de recogida de certificados.
Cuando los empleados hacen clic en un dominio inesperado a través de una plataforma publicitaria, se generará el mismo nivel de escrutinio que un correo electrónico de phishing. Del mismo modo, comience a incorporar infraestructura publicitaria en los protocolos de respuesta a eventos y monitoreo de terminales, y capacite al personal sobre los peligros de la publicidad maliciosa (incluso si un anuncio proviene de Google).
Para el marketing, recuerde que no existe una única fuente de verdad. Los informes de rendimiento de la plataforma son un punto de partida que puede y debe reforzarse mediante análisis de comportamiento y sistemas de puntuación de fraude. Piense de manera más integral e identifique picos de tráfico inusuales, patrones de clics y anomalías de conversión como posibles eventos de seguridad.
La verificación independiente en capas es la única defensa confiable en este panorama de amenazas y rinde dividendos. Por ejemplo, al contar con una mejor visibilidad de la interacción real frente a la falsa, los equipos de marketing pueden identificar más rápidamente los clics no válidos y solicitar con confianza reembolsos en la plataforma.
Para ambos equipos, eres más fuerte cuando lo abordas juntos.
Esta colaboración es más fácil de lo que muchos creen: establezca paneles de control conjuntos que correlacionen el tráfico publicitario con indicadores de amenazas a la seguridad, cree protocolos de respuesta a incidentes que incluyan violaciones de la pila de anuncios y capacite a todos los departamentos para que cada equipo comprenda los puntos ciegos del otro.
Esta es una amenaza que ambas partes y la empresa en general deben abordar. Los navegadores agentes y las inyecciones rápidas están en camino, amenazando con introducir clics aún más autónomos y de apariencia legítima. Ha llegado el momento del marketing multifuncional y la defensa de la seguridad.
Hemos presentado el mejor software de cifrado.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
