Diversos cibercriminales están imitando las páginas de inicio de sesión de Google Ads para engañar a los anunciantes y obtener acceso a sus credenciales. Estos ciberdelincuentes, provenientes de regiones tan diversas como Latinoamérica, Asia y Europa del Este, emplean las cuentas comprometidas en tiempo real para adquirir y difundir anuncios maliciosos y distribuir malware a través de la plataforma de Google Ads.
Google Ads es una plataforma publicitaria que permite a empresas y particulares mostrar anuncios dirigidos en los resultados de búsqueda, sitios web, aplicaciones móviles y otras propiedades en línea de Google, basándose en el comportamiento de búsqueda y los intereses de los usuarios. Frecuentemente, los primeros resultados de búsqueda están patrocinados, lo que indica que alguien ha pagado por esa visibilidad destacada. Para ponerlo en perspectiva, la Búsqueda de Google generó aproximadamente 175 mil millones de dólares en ingresos publicitarios durante 2023.
Los estafadores logran engañar con frecuencia porque sus anuncios muestran una URL como ads[.]google[.]com, lo que los hace casi imposibles de distinguir de los anuncios legítimos de Google.
Esta es una de las campañas de publicidad maliciosa más alarmantes que ha detectado la unidad de investigación de SILIKN ya que ataca directamente el núcleo del negocio de Google y probablemente afecta a miles de clientes en todo el mundo.
De acuerdo con un análisis de esta unidad, recientemente ha habido una oleada de anuncios falsos patrocinados en Google Ads, dirigidos a empresas y personas que buscan anunciarse en la Búsqueda de Google o acceder a sus cuentas de Google Ads. Estos anuncios aparentan ser de Google y pretenden asistir a los usuarios en el registro de una nueva cuenta de Google Ads o en el inicio de sesión en una cuenta existente. Los usuarios que hacen clic en ellos son redirigidos a una página falsa de inicio de sesión de Google Ads, desde donde son enviados a sitios externos creados específicamente para robar sus nombres de usuario y contraseñas de Google.
Los atacantes están utilizando Google Sites, una plataforma gratuita de creación de sitios web de Google, para alojar estas páginas fraudulentas, por lo que esta táctica les permite eludir fácilmente una política de Google que restringe la inclusión de URLs en los anuncios, permitiéndolo sólo si la URL coincide con el dominio del anunciante.
Al analizar los anuncios y las páginas creadas con Google Sites, estos no violan estrictamente las políticas de Google, ya que utilizan el mismo dominio raíz sites[.]google[.]com que ads[.]google[.]com, lo cual hace que la URL del anuncio sea legítima y, por lo tanto, prácticamente indistinguible de un anuncio genuino de Google.
La suplantación de identidad de Google Ads mediante URLs de Google Sites es una táctica sencilla pero eficaz, que hace que los anuncios falsos sean prácticamente indistinguibles de los auténticos. Además, los atacantes utilizan cuentas comprometidas para seguir publicando anuncios fraudulentos, lo que dificulta su erradicación. Las dependencias gubernamentales que podrían ser vulnerables a este tipo de ataques, exponiendo a los ciudadanos a fraudes, engaños y estafas, son aquellas que emplean Google Ads como parte de la infraestructura tecnológica de sus sitios web, tales como:
– Instituto del Fondo Nacional de la Vivienda para los Trabajadores (Infonavit)
– Servicio de Administración Tributaria (SAT)
– Instituto Mexicano del Seguro Social (IMSS)
– Ayuntamiento de Amanalco, Estado de México
– Ayuntamiento de Melchor Ocampo, Estado de México
– Ayuntamiento de Calimaya, Estado de México
– Municipio de Tlapa de Comonfort, Guerrero
– ayuda-gob.mx | Sitio oficial de trámites en México
– Junta Federal de Conciliación y Arbitraje del Gobierno de Baja California
– Municipio de Ixtenco, Tlaxcala
– Ayuntamiento de Talpa de Allende, Jalisco
– Municipio de Tlajomulco de Zúñiga, Jalisco
– Ayuntamiento de Acuitzio del Canje, Michoacán
– Instituto Municipal de las Juventudes, León, Guanajuato
– Municipio de Isidro Fabela, Estado de México
– Secretaría de Educación de Veracruz
– Subsecretaría de Educación Media Superior, Programa de Becas Elisa Acuña
Para reducir los riesgos de suplantación de identidad en Google Ads, las entidades gubernamentales deben aplicar medidas de seguridad como la autenticación multifactor, revisar periódicamente los anuncios en busca de fraudes y mantener actualizadas las políticas de seguridad. Es esencial educar a los usuarios sobre los peligros de hacer clic en enlaces sospechosos, realizar auditorías regulares y emplear herramientas de monitoreo en tiempo real para detectar actividades maliciosas, colaborando con expertos en ciberseguridad para reforzar la protección.
