Cómprame este virus

Los propagadores de virus ya no solo recurren a apps falsas con las que engañar a los usuarios para que las instalen y le faciliten la vida al programa dañino. Muchos han usado tradicionalmente anuncios estáticos para propagar sus códigos. La novedad es que en los últimos meses han conseguido infiltrarlos en las redes de anuncios convencionales, concretamente en Google Adsense, el sistema más extendido de publicidad en internet. Y así los ciberdelincuentes han conseguido integrar el código en anuncios que se muestran en páginas web de prestigio (Youtube, The New York Times, The Huffington Post, Yahoo, AOL...) y que se instalan si el usuario pincha sobre ellos.

La mayoría del código que se ocultaba en los anuncios fraudulentos aprovechaba una vulnerabilidad de Flash Player ya solucionada. Pero la perspectiva no es buena. La Online Trust Alliance, ,una entidad en la que participan Verisign, Microsoft o Twitter, calculaba hace un año que son amenazas que se han duplicado hasta generar más de 12.400 millones de impresiones que han podido infectar a algún dispositivo. Trend Micro continúa advirtiendo contra esta práctica, que ha llegado hasta Google y que puede llegar a encriptar el servidor donde se aloja la página.

El 'malware' para móviles se triplica en un trimestre

"Para una web es imposible saber qué anuncio va a aparecer en su página si recurre a un sistema de subasta de anuncios como es Google Adsense, así que no pueden responder a un ataque así", explica Paula Ortiz, directora legal de IAB Spain, la patronal de la publicidad digital, que asegura que no han tenido constancia de casos en España.

SISTEMA PERVERTIDO

Este tipo de anuncios, llamados de subasta en tiempo real (RTB, en inglés) permiten a sus autores, como en la mayoría de la publicidad online, seleccionar a sus potenciales objetivos. Para ello pervierten el sistema, que permite seleccionar el público para cada anuncio en función de unos parámetros de sexo, intereses y edad, que recuerdan las cookies, en su propio beneficio.

Así, al seleccionar, pueden elegir, por ejemplo, el navegador que utilizaba el potencial cliente. Algunos virus ocultos en anuncios solo se activaban con versiones desfasadas de Internet Explorer. Este tipo de programas normalmente ya solo se encuentran en empresas o entornos de la Administración, que suelen tardar más en incorporar las actualizaciones que los usuarios particulares porque han de comprobar que no interfiera con sus programas habituales.

Lo que haga el virus que contiene el anuncio ya es otro capítulo, porque no hay una sola tipología. En ocasiones este tipo de anuncio dañino, generalmente muy llamativo, oculta un rasonware, programas que encriptan documentos o bases de datos del ordenador del usuario y por el que los delincuentes pedirán un rescate para proporcionar el código que permite revertir la operación. Las primeras versiones simulaban avisos de la policía o el FBI y las nuevas se ocultan en mensajes de supuestos paquetes de Correos y Telégrafos, obviamente falsos.

Este tipo de software ya se ha encontrado también en móviles, donde ataca documentos de la tarjeta de memoria o del espacio de almacenamiento del dispositivo. "Aunque el malware puede ser desinstalado arrancando el dispositivo en modo seguro, si los archivos del usuario ya han sido cifrados, será necesario extraer la clave de cifrado del propio malware para poder proceder a descifrarlos", advierte el Centro Criptológico Nacional (CCN-CERT).