Los anuncios en línea te están atacando

Pot Jose Pagliery

NUEVA YORK (CNNMoney) — Un tipo de truco especialmente engañoso está en aumento. Los hackers pueden infectar tu computadora adhiriéndose a los anuncios de la web, incluso en los sitios web de confianza.

Los hackers están introduciendo malware en anuncios en línea que parecen legítimos. Cuando visitas los sitios que ofrecen esos anuncios, sin saberlo, estás descargando automáticamente virus informáticos.

Este año, el "malvertising" (publicidad maliciosa) ha afectado a Amazon (AMZN, Tech30), Answers.com, Dictionary.com, Examiner.com, The Jerusalem Post, Last.fm, The Pirate Bay, The Times of Israel, Yahoo (YHOO, Tech30) y YouTube.

Y se está extendiendo. Según datos de la firma de seguridad RiskIQ, la cantidad de anuncios maliciosos casi se ha duplicado cada año desde 2011. Sus investigadores han descubierto 432.374 de ellos en lo que va de este año.

"La industria de la tecnología publicitaria reconoce que esto es un problema grave", dijo Geir Magnusson, director de tecnología de la plataforma de publicidad en línea AppNexus.

De acuerdo con los rastreadores de comScore, el malvertising constituye una fracción microscópica de los 5 billones de anuncios en línea que se muestran cada año solo en Estados Unidos. Pero eso todavía representa medio millón de probabilidades de que nuestras computadoras se infecten.

Los hackers han utilizado malvertising para robar información de cuentas bancarias y bloquear archivos reteniéndolos para el pago de un rescate.

Ahora, un aspecto muy preocupante es que los hackers se han vuelto más hábiles para lanzar ataques que logran esquivar los escáneres de seguridad, y los personalizan para atacarte específicamente a ti.

Las redes de publicidad en línea permiten a los anunciantes conocer tu ubicación física, historial web y el tipo de navegador, dispositivo o sistema operativo que utilizas. Los hackers se aprovechan de esto para hacer que los anuncios solo envíen el malware bajo circunstancias específicas.

Si el malware aprovecha un error de Windows XP, no aparecerá si utilizas Windows 7. Podría ser que el objetivo sean los jubilados en Florida de lunes a viernes. Es por eso que los malvertisements no siempre causan alarma. No aparecerán en todos los escáneres.

Los hackers también aprovechan la vulnerabilidad que existe en la forma en que se compran y venden los anuncios en línea. Cuando navegas por una página web, se produce una compleja negociación entre los anunciantes en cuestión de milisegundos. El anunciante de mayor oferta puede mostrarte un anuncio (o regresar al mercado y verificar si existe un postor con una mejor oferta en algún lugar) todo eso en medio segundo.

La casilla reservada para la publicidad en un sitio web podría redirigirte a varios servidores informáticos distintos antes de que, finalmente, se cargue el anuncio. Así es como los hackers pasan desapercibidos: el primer paquete de datos que envían se ve bien, pero finamente te redirige a un servidor que lanza malware. Establecen servidores engañosos para engañar a las redes de anuncios y a los consumidores por igual.

"El ecosistema está optimizado para que el anuncio correcto aparezca en el momento adecuado, al precio más alto", dijo el director ejecutivo de RiskIQ, Elias Manousos. "Nunca fue creado para impedir el fraude".

La complejidad del sistema hace que sea más difícil tomar medidas enérgicas. Cuando Times of Israel fue afectado por el malvertising en septiembre, se necesitaron 14 horas para averiguar qué agencia de publicidad, sin saberlo, estaba transmitiendo anuncios maliciosos, de acuerdo con Jess Dolgin, cuya compañía J Media funciona como departamento de publicidad de la página web de noticias.

De hecho, la industria de la publicidad toma medidas para proteger al público. Por ejemplo, AppNexus le paga a muchos de sus empleados en Nueva York y en la India para que monitoreen los anuncios reales durante todo el día. Y, Sherlock, un programa especial de software, identifica a aquellos que violan la política de la empresa.

Sherlock captura 35 anuncios maliciosos por semana. Pero AppNexus ofrece 30.000 millones de anuncios al día. Sherlock no los puede escanear todos; eso retrasaría el tiempo de visualización por minutos. Bromium, un proveedor de ciberseguridad, concluyó recientemente que la solución más completa: la aprobación rigurosa del 100% de los anuncios, simplemente no resulta posible para la industria de la publicidad.

"Existen límites para lo que puedes hacer en milisegundos", dijo John Clyman, director senior de seguridad de The Rubicon Project (RUBI), una compañía de intercambio de anuncios.

Así que, ¿cómo puedes evitar el malvertising?

Como mínimo: no hagas clic en los anuncios, sobre todo si dicen algo como: "¡Peligro! ¡Necesitas actualizar tu antivirus!" Y los anuncios enlazados con malware podrían verse como auténticos comerciales de autos o películas.

Minimiza la exposición: actualiza siempre tu sistema operativo, aplicaciones y navegador web (incluyendo plugins, como Java). Los programas de antivirus actualizados capturarán algunos malware, pero no todos.

Ve más allá: utiliza algo como AdBlock, el cual bloquea todos los anuncios. Pero las páginas diseñadas para que se vean bien con los anuncios de pronto se ven horribles. Y lo peor de todo, esto obstruye el flujo principal de ingresos para los editores, como CNNMoney o tu blog favorito.

Las empresas de publicidad también están tomando medidas drásticas unas con otras. AppNexus tiene una política de un máximo de tres ataques antes de suspender negocios con una agencia de publicidad, pero solo temporalmente. Los investigadores de seguridad sugieren un sistema de honor en la industria de la publicidad que revoque universalmente los privilegios. Si lanzas malware, estás fuera. Pero el problema se ha extendido tanto que también parece insostenible.

"Sería interesante ver si alguien quedaría de pie", dijo Dolgin.

CNNMoney está investigando los últimos hacks. ¿Te han robado dinero de tu cuenta bancaria? ¿Alguien ha robado tu identidad? Comparte tu historia.