Ciudad de México, México - Cuando se realiza una búsqueda en Google, es posible hacer clic de forma automática en las opciones que aparecen en los primeros resultados. Pero, ESET, compañía líder en detección proactiva de amenazas, advierte que este acto reflejo puede ser contraproducente si no se presta la atención necesaria ya que entre los primeros resultados se pueden encontrar sitios falsos que se hacen pasar por legítimos para intentar robar datos sensibles o inducir a la descarga de algún tipo de malware.
“Los ciberdelincuentes se valen de la manipulación de los buscadores, principalmente mediante anuncios que promueven esos sitios maliciosos y así aparecen en resultados de búsqueda patrocinados, o posicionados en la primera página de los buscadores de manera orgánica mediante técnicas de blackhat SEO.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
El objetivo de los cibercriminales es suplantar la identidad de alguna marca o entidad reconocida, la cual también es víctima de este engaño ya que se utiliza su nombre para hacer creer a las víctimas que se trata de un sitio legítimo. Desde el Laboratorio de ESET Latinoamérica, han analizado diversos sitios falsos que se distribuyen a través de anuncios en buscadores y comparten qué buenas prácticas se pueden implementar para no ser víctima de estas estafas:
La Veloz del Norte: durante septiembre de 2024 ESET detectó una campaña de phishing en Argentina que apuntaba a robar credenciales de acceso y datos bancarios, utilizando como señuelo la venta de pasajes de ómnibus de larga distancia. Al hacer clic en el enlace que aparecía en los resultados patrocinados de búsqueda, se ingresaba a un sitio falso que era réplica exacta del legítimo, compartiendo una estructura y un diseño similar.
Pie de imagen: Sitio falso anunciado en patrocinados de Google en resultados de búsqueda
ChatGPT: otro caso reciente se relaciona con una campaña de anuncios que llevaba a un sitio falso y ofrecía la versión paga actualizada del chatbot de OpenAI. La forma de engaño simular ser el sitio real (utilizando logos de empresas que usan el servicio real para darle un matiz de veracidad a la página falsa) y hacer que los usuarios caigan en la trampa, aprovechando la popularidad creciente del chatbot.
Pie de imagen: Sitios falsos que usan el nombre de ChatGPT, entre los resultados patrocinados.
Así, cuando un usuario creía que estaba suscribiéndose a la versión paga del ChatGPT, en realidad estaba entregando sus datos de la tarjeta de crédito y el pago por el servicio falso.
MasterCard: en este caso, los estafadores se hicieron pasar por el sitio oficial de MasterCard utilizando anuncios falsos que aparecían en los resultados de búsqueda.
Los sitios falsos a los que llevaban los anuncios utilizaban colores, logo e imágenes del sitio legítimo. Sin embargo, utilizaban estrategias distintas para ejecutar el engaño: el primer sitio utilizaba una técnica conocida como ataque homográfico, que consiste en usar variaciones del nombre oficial del sitio para que a simple vista no genere sospechas el nombre de la URL; mientras que el segundo anuncio falso ofrecía un supuesto servicio de asesoría financiera.
Pie de imagen: Resultados de búsqueda que muestran anuncios con urls de sitios falsos.
Falsos sitios de empleo: también ESET detectó ofertas de empleo falsas que se posicionaron como contenido patrocinado entre los primeros resultados de búsquedas web con la intención de estafar a los usuarios. Los sitios maliciosos en cuestión figuraban entre los primeros resultados de búsquedas como “empleo rápido”, “empleo sin experiencia” o “ganar dinero fácil”, apelando a la desesperación de quienes realizan estas búsquedas.
Luego del registro y del depósito del dinero de “regalo”, se le pedía a la víctima que envíe más dinero para empezar a recibir ganancias: allí es donde la estafa se materializaba.
Pie de imagen: Resultados de búsqueda en Google patrocinados que llevan a estafas de trabajos falsos.
VLC, 7-Zip y CCleaner: en esta misma línea, el sitio especializado Bleeping Computer compartió cómo los cibercriminales distribuían malware a través de anuncios de búsqueda de Google para VLC, 7-Zip y CCleaner. Según remarcan “al menos un usuario destacado en la escena de las criptomonedas ha sido víctima de la campaña, alegando que permitió a los piratas informáticos robar todos sus activos criptográficos digitales junto con el control de sus cuentas profesionales y personales”.
Para evitar ser víctima de estos engaños, desde ESET destacan tener presente que el primer resultado de la búsqueda no siempre es el indicado, y que es recomendable verificar si se trata de un sitio legítimo, sobre todo si es un anuncio y no un resultado orgánico. En caso de desconfiar de la legitimidad de un sitio se puede intentar comunicar con la empresa por otra vía. Una forma sencilla de chequear un anuncio de Google es haciendo click en los tres puntos que abrirán el centro de anuncios de Google. Así, muchas veces es el primer lugar donde se puede verificar que no se condice la identidad del anunciante con lo que promete ser.
“En algunos casos, los sitios falsos logran incluso posicionarse en los primeros resultados de búsqueda naturalmente; es decir, sin anuncios. Por lo tanto, prestar atención a la URL y corroborar que se trata de un sitio legítimo es la clave.”, agrega el especialista de ESET.
Por otra parte, y considerando la cantidad de cuentas falsas que existen en redes sociales, es importante estar atento y evitar perfiles que se hacen pasar por compañías reconocidas pero que no cuenten con la marca de verificación. Esta marca suele encontrarse junto al nombre de usuario de la cuenta y la finalidad es que las personas puedan tener certeza que se trata de la cuenta oficial de la compañía.
Por último, en caso de haber sido víctima de un engaño es importante dar aviso lo antes posible a las compañías emisoras de las tarjetas y cuentas bancarias para poder recuperar los accesos y evitar transacciones fraudulentas.
