Suplantación de identidad a OneTimeSecret: ¿Qué ocurrió?
Autor: Marc BernaldoEl pasado 5 y 6 de marzo apareció en Google un anuncio patrocinado suplantando la identidad de la aplicación OneTimeSecret, utilizada comúnmente para compartir contraseñas o mensajes cifrados en forma de secreto.
En la imagen de la izquierda podemos ver una suplantación casi imperceptible. En lugar de poner oNetimesecret, el primer anuncio patrocinado y en el que cualquier usuario clicaría, al estar en la primera posición, pone oMetimesecret. Como podemos ver, el cambio es mínimo. Debajo de la primera opción patrocinada, podemos ver la versión legítima de OneTimeSecret.
Si nos fijamos en la imagen de la derecha, podemos ver el anunciante y su ubicación, que se encuentran en Kazajistán.
Lo que pasó fue que OneTimeSecret fue víctima de un ciberataque de Malvertising, concretamente del tipo: anuncio de Búsqueda dinámica.
¿Qué es un anuncio de Búsqueda Dinámica?
Los anuncios de Búsqueda Dinámica (DSA, siglas en inglés), son un tipo de anuncio de Google que utilizan un sitio web para la creación de anuncios. Estos anuncios son los enlaces que aparecen en la parte superior cuando se realiza una búsqueda, priorizándolos ante los sitios webs no “patrocinados”. Esto conlleva que Google priorice los anuncios ante el resto de resultados.
A pesar de que esta funcionalidad es muy útil para los anunciantes, también puede ser objeto de abuso, permitiendo que un tercero publique un anuncio con una URL similar a la página legítima (logrando confundir a los usuarios).
El problema, ¿cómo distinguir la publicidad maliciosa de la real con técnicas cada vez más sofisticadas?
Para evitar caer en la trampa del malvertising, es esencial que todo el personal de la empresa esté concienciado y siga unas pautas básicas para diferenciar los anuncios maliciosos de los reales.
Para ello, es importante analizar el lenguaje y la forma del anuncio. En el malvertising, se suelen utilizar mensajes llamativos o alarmistas, con el objetivo de atraer la atención de la víctima. No está de más tener presente la frase: “demasiado bueno para ser verdad”. De esta manera, nos los pensaremos dos veces antes de clicar en el anuncio.
Por otro lado, fijarnos en cada palabra del anuncio. En la mayoría de casos estos tienen faltas de ortografía o cambios de letras casi imperceptibles como pasó en este caso, que un “N” fue cambiada por una “M”, pasando casi inadvertido para el ojo humano.
Además, los ciberdelincuentes suelen recurrir al uso de pop-ups, o ventanas emergentes, para llamar la atención de los usuarios hacia la publicidad maliciosa. Por lo general, es mejor cerrar directamente este tipo de anuncios, evitando hacer clic en ellos.
Por último, es importante comprobar la URL de la página web de destino. Los anuncios reales contarán con una URL sencilla, fácilmente identificable respecto al sitio web fiable. Si la dirección web resulta sospechosa o contiene símbolos raros o cambios de letras, es preferible evitarla.
¿Qué hacer en caso de detectar un anuncio patrocinado malicioso en Google?
Google dispone de un sistema para denunciar anuncios fraudulentos accediendo a su apartado de soporte: https://support.google.com/google-ads/answer/7334472
Una vez denunciado el caso, Google lo revisa y retira del buscador.