A les acaballes de la primera dècada dels 2000, quan els ordinadors i Internet començaven a formar part del nostre dia a dia, un grup de ciberdelinqüents va aconseguir injectar programari maliciós a DoubleClick, la xarxa publicitària de Google.

Encara que la publicitat maliciosa a Internet existia des de feia temps, aquest ciberatac va distribuir malware a través d’anuncis que es trobaven en pàgines web d’alt trànsit, infectant a un elevat nombre d’usuaris.

Va ser així com el malvertising, o publicitat maliciosa, va començar a desenvolupar-se, sent cada vegada més sofisticada i convertint-se, també avui dia, en una amenaça pels usuaris i les empreses.

El malvertising és la tècnica mitjançant la qual els ciberdelinqüents injecten malware en anuncis publicitaris de la Xarxa. Aquest tipus d’anuncis maliciosos estan fets de tal forma que inciten a la víctima a fer clic en ells. De fer-ho, aquests descarreguen malware automàticament al dispositiu o redirigeixen a l’usuari a una pàgina web maliciosa.

Quines formes de malvertising podem trobar?

Encara que la finalitat d’aquesta mena d’atacs és la mateixa, podem entrar en diferents tipus de publicitat maliciosa en la Xarxa.

Els més comuns són els anuncis, per exemple, en forma de bàner, que descarreguen automàticament el malware al dispositiu en fer clic sobre ells, sense el consentiment de l’usuari. Una vegada és descarregat, el ciberdelinqüent podria realitzar diferents accions malicioses al dispositiu de la víctima.

Uns altres estan configurats de tal forma que redirigeixen a l’usuari a una altra pàgina web de contingut maliciós. Des d’aquesta, s’intentarà enganyar la víctima perquè descarregui programari maliciós.

Aquesta situació és perillosa en qualsevol cas, però, més encara quan es tracta dels dispositius de l’empresa. La descàrrega d’un malware pot arribar a comprometre la informació confidencial d’un negoci, fins i tot, arribant a exigir rescats econòmics per ella (ransomware).

El contingut de l’anunci pot variar, però normalment, els ciberdelinqüents fan ús de l’enginyeria social per atreure a les seves víctimes mitjançant descomptes increïbles o oportunitats úniques, a través d’un format cridaner, que resulten ser falsos.

També són freqüents els anuncis que informen d’actualitzacions o altres avisos de seguretat i que, encara que puguin semblar legítims, també contenen malware. De fet, si ho pensem bé, resulta irònic infectar el nostre dispositiu «sa» per fer clic en un «El seu equip podria estar infectat».En qualsevol d’aquests casos, els ciberdelinqüents utilitzen un ampli ventall per perpetuar els seus atacs.

En qualsevol cas, és necessari la interacció de la víctima, però no sempre fa falta fer clic per caure al seu parany. Els atacs Drive by Download funcionen de manera que resulten pràcticament imperceptibles per l’usuari. Simplement accedint a la web on està allotjat l’anunci maliciós, els ciberdelinqüents podrien aprofitar vulnerabilitats al navegador o al dispositiu per aconseguir tenir el control de l’equip de la víctima.

Com pot afectar el malvertising a la meva organització?

La publicitat maliciosa va dirigida a qualsevol usuari propens a ser víctima d’ella. Això afecta també a les empreses ja que els empleats de les quals, naveguen sovint per Internet a través dels dispositius d’empresa. La descàrrega de malware als equips corporatius pot suposar un gran risc, però no és l’única forma en la qual el malvertising pot afectar una organització.

A més del paper de víctima, una empresa podria adoptar, sense saber-ho, el de canal d’atac. Els ciberdelinqüents solen utilitzar la popularitat d’empreses de confiança per allotjar la publicitat maliciosa a les seves pàgines web, i així, atreure a més possibles víctimes.

També, a través de l’enginyeria social, aconsegueixen aconseguir passar per marques conegudes i fer un mal ús d’elles per perpetrar el seu atac. En qualsevol cas, formar part de la cadena d’aquest atac pot significar per l’organització pèrdues econòmiques, de clients i inversors, i fins i tot arribar a incórrer en responsabilitats legals.

Però, si aquesta tècnica és cada vegada més sofisticada, com podem distingir la publicitat maliciosa de la publicitat real?

Per evitar caure en aquest parany, és essencial que tot el personal de l’empresa estigui conscienciat i segueixi unes pautes bàsiques per diferenciar el malvertising de la publicitat real.

En general, es pot evitar caure en la publicitat maliciosa aplicant el sentit comú. Els anuncis legítims solen provenir d’una empresa legítima, una empresa coneguda. Si no es pot identificar la font, probablement es tracta de publicitat maliciosa.

També és important analitzar el llenguatge i la forma de l’anunci. En el malvertising, se solen utilitzar missatges cridaners o alarmistes, intentant atreure l’atenció de la víctima. És important recordar que si és massa bo per ser veritat, és millor evitar-ho.

Els ciberdelinqüents solen recórrer a l’ús dels pop-up, o finestres emergents per cridar l’atenció dels usuaris cap a la publicitat maliciosa. En general, és millor tancar directament aquest tipus d’anuncis i evitar fer-hi clic.

Finalment, és important comprovar l’URL de la pàgina web de destí. Els anuncis reals comptaran amb un URL senzill, fàcilment identificable respecte al lloc web fiable. Si l’adreça web resulta sospitosa, és preferible evitar-la.

Quines mesures de protecció podem prendre per evitar ser víctimes de malvertising?

És rellevant tenir en compte una sèrie de bones pràctiques per evitar que els equips de la nostra empresa es vegin afectats per la publicitat maliciosa, posant en risc la seguretat de l’organització.

• Verificar sempre la legitimitat dels llocs web que es visiten. Abans d’accedir a qualsevol lloc web, és imprescindible assegurar-se de què es tracta d’una pàgina legítima. Encara que aquestes també poden contenir publicitat maliciosa, algunes menys segures són més propenses a estar infectades.
• Mantenir el programari actualitzat a l’última versió. Com sempre repetim, les vulnerabilitats d’un programari desactualitzat suposen una porta oberta als ciberdelinqüents.
• Utilitzar mesures de protecció adequades. A més de l’antivirus i el tallafocs, existeixen blocadors d’anuncis als navegadors els quals poden filtrar, en gran part, la publicitat maliciosa.
• No revelar mai informació personal a través d’anuncis. Encara que pugui semblar provenir d’una pàgina web fiable, podria tractar-se d’un engany.
• Conscienciar a tots els empleats i formar-los perquè aprenguin a distingir entre publicitat real i maliciosa.

Endemés, les empreses, l’activitat de les quals és present a la Xarxa, han de preocupar-se que la seva pàgina web no presenti publicitat maliciosa. Si un usuari fos víctima de malvertising a través d’un anunci allotjat a la pàgina web d’una empresa, la reputació i credibilitat de la mateixa es veuria greument afectada, podent arribar a perdre la confiança dels clients.