Los estafadores están secuestrando cuentas de Google Ads de los anunciantes

Los estafadores están secuestrando cuentas de Google Ads de los anunciantes

Las organizaciones criminales de todo el mundo están llevando a cabo ataques de phishing contra anunciantes.

Los ataques de phishing son un tipo de fraude en el que los delincuentes intentan obtener datos personales de los usuarios: nombres de usuario, contraseñas, números de tarjetas bancarias y otra información confidencial. Crean sitios web falsos, correos electrónicos o mensajes que se disfrazan como fuentes oficiales —bancos, servicios populares o compañeros de trabajo. Los estafadores exigen ingresar los datos de forma urgente, amenazando con bloquear la cuenta o prometiendo información importante. Cuando el usuario cae en la trampa, sus datos terminan en manos de los delincuentes.

El esquema de este ataque es simple: los estafadores colocan enlaces publicitarios falsos en los resultados de búsqueda de Google dirigidos a anunciantes que buscan la página de inicio de sesión de Google Ads. Al acceder a las cuentas, los delincuentes utilizan los presupuestos publicitarios de las víctimas para lanzar nuevos anuncios de phishing, monetizando así los fondos robados.

En diciembre, tres operadores importantes de cuentas de Google Search y Merchant Center —dos agencias y un consultor— informaron de forma independiente a AdExchanger sobre el hackeo de sus sistemas.

Jerome Segura, director sénior de investigación en Malwarebytes, publicó un informe detallado sobre estos esquemas fraudulentos. Según sus estimaciones, miles de propietarios de cuentas de Google Ads fueron víctimas de este ataque.

El portal troyano

Conclusiones clave del informe de Malwarebytes:

  • El artículo describe una campaña de phishing a gran escala dirigida a usuarios de Google Ads.
  • Los delincuentes crean anuncios falsos que redirigen a las víctimas a páginas de inicio de sesión falsas.
  • Estas páginas imitan la interfaz de Google Ads y roban las credenciales de las víctimas.
  • Las cuentas robadas se venden en mercados negros o se utilizan para nuevas operaciones fraudulentas.
  • Las principales agrupaciones de delincuentes operan desde Brasil, China y Europa del Este.
  • La campaña afecta tanto a empresas como a anunciantes individuales en todo el mundo.
  • Las cuentas hackeadas se usan para propagar malware y llevar a cabo campañas publicitarias fraudulentas.
  • A pesar de numerosas denuncias, Google no está tomando suficientes medidas para abordar el problema.

¿Cómo funciona?

El esquema del hackeo es sorprendentemente simple: los estafadores crean anuncios publicitarios falsos dirigidos a consultas relacionadas con el inicio de sesión en Google Ads o su configuración.

Muchos usuarios, en lugar de ir directamente al sitio, escriben consultas como “Facebook”, “ESPN fantasy” o “Google Ads” en el navegador y hacen clic en el primer resultado que aparece en la búsqueda.

Este método de acceso mediante resultados de búsqueda conlleva serios riesgos.

El mecanismo del fraude es el siguiente: cuando un empleado de una agencia publicitaria busca cómo iniciar sesión en Google Ads a través de Google Search, ve un anuncio publicitario con un enlace aparentemente correcto como ads.google.com. Sin embargo, el enlace lleva a una página de inicio de sesión falsa, donde el usuario introduce sus credenciales.

Incluso la autenticación de dos factores no siempre protege. Uno de los anunciantes afectados dijo a AdExchanger que recibió una solicitud de autenticación aparentemente normal. El único indicio sospechoso era que se indicaba un inicio de sesión desde Brasil, aunque el sistema suele identificar la ubicación con precisión. El anunciante asumió que podría ser un error del Wi-Fi o de la VPN corporativa.

Finalmente, confirmó el inicio de sesión sin sospechar el peligro.

Una vez que los atacantes se apoderaron de la cuenta, actuaron con rapidez: se asignaron como administradores y lanzaron nuevas campañas publicitarias que “imitaban hábilmente las nuestras.”

El bazar oscuro en la darknet

En Internet existen “mercados negros” de datos —plataformas ilegales en línea para la venta de información robada: nombres de usuario, contraseñas, números de tarjetas de crédito, datos personales y médicos. Estas plataformas operan en la darknet y utilizan Tor para ocultar sus actividades.

Utilizando los presupuestos robados, los estafadores publicaron anuncios en Google que difundían malware. Según una fuente, los fondos también se utilizaron para anuncios de pago por clic, probablemente en sitios controlados por los estafadores. Es imposible determinar detalles precisos ya que los delincuentes destruyeron todos los datos de las campañas realizadas.

Las fuentes destacaron la alta experiencia de los hackers en el uso de Google Ads.

“Todo ocurrió muy rápido”, relató una fuente que observó cómo se configuraban las campañas después del hackeo, “pero las acciones mostraban claramente inteligencia humana, no un programa automatizado.”

Las tres fuentes entrevistadas por AdExchanger fueron víctimas de hackers que probablemente operan desde Brasil. Según Segura de Malwarebytes, hay otras dos agrupaciones activas: una probablemente de Asia (China o Hong Kong) y otra presumiblemente de Europa del Este.

Los hackers brasileños ya han aparecido en titulares sobre fraudes publicitarios a gran escala. Lea el artículo: HUMAN descubrió una red pirata con 2.5 mil millones de solicitudes de anuncios diarias.

¿Cómo detenerlo?

Según dos fuentes de AdExchanger, los anuncios maliciosos siguen propagándose a través de enlaces patrocinados en Google Search esta semana.

“Prohibimos categóricamente los anuncios destinados a engañar a las personas para robar su información o cometer fraudes”, afirmó Google. “Nuestros equipos están investigando activamente este problema y trabajando rápidamente para solucionarlo.”

Sin embargo, la palabra "prohibimos" es inapropiada aquí, ya que esta actividad prohibida continúa sin obstáculos. Los estafadores logran reunir decenas de quejas sobre sus campañas de phishing antes de que se bloqueen sus cuentas.

Segura informa que su equipo identificó más de 50 casos de fraude con una misma cuenta publicitaria en solo unos días de diciembre. No pudieron manejar la situación, describiéndola como un juego interminable de “golpea al topo” (una situación en la que constantemente surgen problemas en diferentes lugares).

Juego de golpear al topo

“Nos dimos cuenta rápidamente de que, independientemente de la cantidad de quejas y su procesamiento, los delincuentes siempre lograban mantener al menos un anuncio malicioso activo las 24 horas del día”, escribe Segura.

Según las fuentes de AdExchanger, los hackeos se detectaron gracias a los sistemas de monitoreo propios de las víctimas y no por la protección de Google Ads. Además, tuvieron que presentar múltiples quejas sobre las mismas cuentas comprometidas y campañas fraudulentas.

¿Qué pasa con el dinero?

Cuando los estafadores hackean las cuentas de las agencias publicitarias o agotan sus presupuestos, surge una pregunta obvia: ¿quién compensará los fondos robados?

Esta cuestión se convierte en objeto de complejas negociaciones entre Google, la agencia y el anunciante.

Por un lado, las víctimas del fraude cometieron un error humano. Por otro lado, los estafadores demostraron un conocimiento experto de Google Ads y usaron hábilmente el motor de búsqueda para sus maniobras.

El dragón de los anuncios y los tesoros

Según las tres fuentes de AdExchanger, sus empresas ofrecieron inmediatamente reembolsar a los clientes. Actualmente están dialogando con Google, y la compañía está dispuesta a compensar los gastos — siempre y cuando se presenten pruebas del hackeo y se comprometan a cumplir con ciertos estándares de seguridad en el futuro.

La situación se complica por la casi imposibilidad de combatir el fraude en Google Ads.

Los estafadores no solo roban dinero de las cuentas publicitarias. Su objetivo principal es utilizar los presupuestos robados para distribuir malware a través de enlaces fraudulentos en Google Search. Una vez instalado en el dispositivo de la víctima, este software puede ser utilizado para crear una botnet: una red de ordenadores infectados.

Según Segura, la venta de credenciales de cuentas de Google Ads es un negocio lucrativo en el mercado negro. “Creemos que su objetivo es revender estas cuentas en foros de hackers, dejando algunas para continuar con las campañas fraudulentas”.

La mejor prevención para los anunciantes es evitar usar Google Search como punto de entrada al portal.

Los especialistas que cayeron en esta trampa y compartieron su historia con AdExchanger confesaron que solían utilizar enlaces patrocinados en la página de búsqueda de Google.

¿Por qué?

“Porque no me gusta Google. Cada vez que entraba, hacía que Google pagara un poco por mi acceso a Google Ads”, dijeron.

Lea también sobre seguridad en la publicidad:

El testamento de los ingenuos