El malvertising es una técnica de ataque que utiliza anuncios maliciosos insertados en redes publicitarias legítimas para distribuir malware. No necesitas hacer clic en nada sospechoso: basta con que tu navegador cargue un banner malicioso en una web de confianza para que tu equipo quede comprometido. Esta forma de publicidad malware aprovecha el mismo ecosistema de ads infectados que financia internet, lo que la convierte en una de las amenazas más difíciles de detectar tanto para usuarios como para administradores web.
Y sí, hablamos de anuncios que aparecen en medios grandes, portales de noticias y webs con millones de visitas. No hace falta que navegues por los bajos fondos de internet.
Cómo funciona el malvertising: anatomía de un anuncio que muerde
El proceso es más sofisticado de lo que parece. Un atacante crea una campaña publicitaria aparentemente legítima y la introduce en una red de anuncios (Google Ads, DoubleClick, Taboola o similares). La red distribuye el anuncio a miles de webs. Hasta aquí, todo normal.
El truco está en lo que esconde ese banner malicioso. Existen dos variantes principales:
- Pre-click (drive-by download): El anuncio contiene código JavaScript o un iframe oculto que explota vulnerabilidades del navegador o de plugins como Flash (sí, Flash murió oficialmente, pero sus fantasmas persisten en sistemas sin actualizar). El malware se descarga sin que hagas clic. Nada. Zero interaction.
- Post-click: El anuncio te redirige a una landing page que simula ser una descarga legítima, una actualización de software o una alerta de seguridad falsa. Aquí sí necesitan que hagas clic, pero el engaño visual es muy convincente.
Entre 2022 y 2024, la campaña conocida como "ChromeLoader" utilizó anuncios maliciosos en buscadores para distribuir extensiones de navegador que secuestraban las búsquedas del usuario. Google retiró miles de anuncios, pero el patrón se repite trimestre tras trimestre. El grupo Magnat, documentado por ESET y Cisco Talos, empleó publicidad malware en Google Ads para distribuir backdoors disfrazados de instaladores de software popular.
Las redes publicitarias tienen sistemas de detección, pero los atacantes usan técnicas de evasión: cloaking (muestran contenido limpio al escáner y malicioso al usuario), geotargeting (solo activan el payload en ciertos países) y temporización (el anuncio es inofensivo durante las primeras horas hasta pasar la revisión).
Casos reales: webs de confianza que te la jugaron
Si piensas que esto solo pasa en páginas de descargas piratas, malas noticias. Algunos casos documentados que conviene recordar:
- The New York Times, BBC y MSN (2016): La campaña "AdGholas" inyectó ads infectados a través de redes publicitarias de primer nivel. Millones de usuarios expuestos al exploit kit Angler sin hacer un solo clic.
- Spotify (2011): La versión gratuita de escritorio sirvió anuncios maliciosos que descargaban troyanos. Spotify tuvo que desactivar temporalmente la publicidad de terceros.
- Yahoo (2014): Durante varios días, los anuncios de Yahoo.com distribuyeron el exploit kit Magnitude. La estimación de máquinas afectadas supera los 27.000 equipos por hora durante el pico del ataque.
- Google Ads (2023-2024): Campañas recurrentes de malvertising suplantando software como OBS, Notepad++, VLC y 7-Zip. Los anuncios aparecían como primer resultado de búsqueda patrocinado, con dominios typosquatting casi idénticos a los originales.
El patrón es claro: cuanto mayor es la audiencia del sitio, más atractivo resulta para los atacantes. Cualquier medio digital que quiera proteger a sus lectores necesita auditar sus proveedores de publicidad constantemente.
Tipos de malware distribuido vía publicidad
No todos los ads infectados entregan el mismo regalo envenenado. Esto es lo que suelen soltar:
| Tipo de malware | Qué hace | Ejemplo conocido |
|---|---|---|
| Ransomware | Cifra tus archivos y pide rescate | CryptoWall (distribuido vía RIG exploit kit) |
| Infostealers | Roba credenciales, cookies y datos bancarios | Raccoon Stealer, RedLine |
| Troyanos bancarios | Intercepta sesiones de banca online | Zeus, TrickBot |
| Spyware | Monitoriza tu actividad y exfiltra datos | DarkGate (distribuido via Google Ads en 2023-2024) |
| Cryptojackers | Usa tu CPU para minar criptomonedas | Coinhive (ya cerrado, pero con sucesores) |
| Extensiones maliciosas | Secuestran búsquedas y sesiones | ChromeLoader |
Si tu equipo se comporta de forma extraña después de navegar por una web aparentemente segura, el origen podría ser un banner malicioso que pasó desapercibido. Te recomendamos revisar también las diferencias de seguridad entre iOS y Android, porque el malvertising en móviles sigue una dinámica similar pero con vectores específicos.
Cómo protegerte del malvertising sin dejar de navegar
Vamos a lo práctico. No puedes controlar qué anuncios sirven las webs que visitas, pero sí puedes reducir drásticamente tu superficie de ataque:
- Mantén todo actualizado. Navegador, sistema operativo y plugins. La mayoría de exploit kits apuntan a vulnerabilidades conocidas con parche disponible. Si no actualizas, eres un blanco fácil. Así de simple.
- Usa un bloqueador de anuncios. uBlock Origin es la referencia: open source, bajo consumo de recursos y con listas de filtros actualizadas. No es solo comodidad, es una capa de seguridad real contra publicidad malware.
- Desactiva JavaScript selectivamente. Extensiones como NoScript (Firefox) o ScriptSafe (Chrome) permiten controlar qué scripts se ejecutan. Es incómodo al principio, pero reduce la exposición a exploit kits de forma radical.
- Activa el aislamiento de sitios. Chrome lo trae activado por defecto (
chrome://flags/#enable-site-per-process). Firefox tiene Fission. Esto limita lo que un anuncio comprometido puede hacer dentro de tu sesión. - No ignores las alertas del navegador. Si Chrome o Firefox te dicen que un sitio intenta descargar algo, presta atención. Esas alertas existen por algo.
- Revisa las extensiones instaladas. Periódicamente. Si hay alguna que no recuerdas haber instalado, elimínala. Puedes verificar también la seguridad de tus contraseñas por si algún infostealer ya ha pasado por tu equipo.
Para los más técnicos: herramientas como VirusTotal permiten analizar URLs sospechosas antes de visitarlas. Y si administras una web, servicios como Google Safe Browsing API y Sucuri SiteCheck pueden ayudarte a detectar si tu propio sitio está sirviendo contenido malicioso a través de la red de anuncios.
Malvertising en buscadores: el nuevo campo de batalla
La variante más peligrosa de malvertising en los últimos años no viene en banners, sino en los resultados patrocinados de Google. El mecanismo es perverso: el atacante puja por palabras clave de software popular (Slack, Zoom, Gimp, Blender) y su anuncio aparece por encima del resultado orgánico legítimo.
El dominio del anuncio imita al original con variaciones mínimas: gimp-download.com en lugar de gimp.org, por ejemplo. La landing page es una réplica casi perfecta. El instalador que descargas funciona —instala el software real— pero incluye un infostealer de regalo.
El FBI emitió un aviso público sobre esta técnica en diciembre de 2022 (IC3 Alert I-122122-PSA). Google ha intensificado la verificación de anunciantes desde 2023, pero el juego del gato y el ratón continúa. Un consejo directo: cuando busques software para descargar, ignora los resultados patrocinados y ve directamente al resultado orgánico o, mejor aún, escribe la URL oficial a mano.
Esta técnica también se usa para suplantar servicios de soporte técnico y estafas de phishing como las que usan Bizum. El patrón es el mismo: suplantar la confianza que el usuario deposita en un resultado que parece oficial.
Aplica la misma precaución con dispositivos IoT de tu hogar: routers, cámaras y asistentes de voz también reciben actualizaciones de firmware que corrigen vulnerabilidades explotables desde el navegador. Mantenerlos actualizados forma parte de la misma higiene digital.
Preguntas frecuentes
¿Puedo infectarme con malvertising sin hacer clic en ningún anuncio?
Sí. Los ataques drive-by explotan vulnerabilidades del navegador o de plugins para ejecutar código con solo cargar el anuncio. Por eso mantener el software actualizado y usar un bloqueador de anuncios son las dos medidas más efectivas contra los anuncios maliciosos.
¿Los bloqueadores de anuncios realmente protegen contra el malvertising?
Reducen significativamente el riesgo al impedir que los anuncios —y su código asociado— se carguen en primer lugar. uBlock Origin, por ejemplo, bloquea dominios conocidos de distribución de malware además de la publicidad convencional. No es infalible, pero elimina la mayor parte del vector de ataque.
¿Cómo sé si mi ordenador ha sido infectado por un anuncio malicioso?
Señales típicas: rendimiento inusualmente lento, redirecciones del navegador a páginas extrañas, extensiones que no instalaste, ventanas emergentes fuera del navegador o procesos desconocidos en el administrador de tareas. Ejecuta un escaneo con Malwarebytes (versión gratuita) y revisa las extensiones de tu navegador. Si detectas algo, cambia tus contraseñas principales desde un dispositivo limpio.
¿Las webs grandes son responsables del malvertising que aparece en sus páginas?
Legalmente, la responsabilidad es difusa. Las webs contratan redes publicitarias que a su vez subcontratan otras redes. La cadena de intermediarios dificulta el control. El RGPD y la Directiva ePrivacy exigen cierta diligencia, pero en la práctica la detección recae sobre las propias redes de anuncios y los equipos de seguridad de los medios.
El siguiente paso
Instala uBlock Origin ahora mismo en todos tus navegadores. Es gratuito, open source y tarda menos de un minuto. Solo con eso, eliminas la mayoría de vectores de malvertising y publicidad malware a los que estás expuesto cada día. Si ya lo tienes, revisa que las listas de filtros estén actualizadas (icono del escudo → panel de control → "Purgar todas las cachés" y "Actualizar ahora"). Después, dedica cinco minutos a revisar la configuración de seguridad de tus redes sociales: son otro canal habitual de distribución de enlaces maliciosos disfrazados de contenido legítimo.
