Crearon webs falsas y programaron un ejército de bots para que las visitaran como lo haría un humano, hasta tenían perfiles falsos de Facebook. Los anunciantes tardaban dos meses en darse cuenta
Los anunciantes estadounidenses han sido engañados y han acabado pagando millones de euros diarios en concepto de presentación de anuncios digitales a una banda de ciberdelicuentes rusos armada con una red de bots.
La empresa de investigaciones de seguridad White Ops ha descubierto "la operación fraudulenta más grande y lucrativa que ha golpeado a la publicidad digital hasta la fecha". Los hackers crearon un sistema automatizado para acumular vistas de anuncios tan sofisticado que nadie se daba cuenta del problema hasta pasados dos meses. Esto ha costado a los distintos anunciantes un total de unos 172 millones de euros.
El engaño fue sencillo. Los criminales se hicieron pasar por una empresa de publicidad que prometía colocar anuncios en páginas como Fox News, ESPN y CBS Sports. Pero en lugar de esas webs, desarrollaron otras páginas falsas que ninguna persona real visitaría. Entonces emplearon un sofisticado ejército de bots, conocido como Methbot y repartido entre 500.000 direcciones IP estadounidenses distintas, para visualizar los anuncios.
La parte más ingeniosa fue que los criminales programaron a los bots para estar activos durante el día, parecían utilizar Chrome desde un Mac, y hasta disponían de cuentas de Facebook falsas. Para cualquiera que comprobara las estadísticas, parecían personas de verdad. "[Fue] un hermoso simulacro de navegador real", explicó el CEO de White Ops, Michael Tiffany, a CNN. "Este es el tipo de robo en el que nada ha desaparecido", añade.
El tráfico falso es una mala noticia para los anunciantes porque acaban pagando publicidad que nadie ve. Y en este caso, dolió mucho: el engaño hizo que los hackers ganaran entre tres y cinco millones de euros al día.
Su idea, desde luego, no es nueva. El secuestro de anuncios mediante clics robóticos ha sido un problema desde que apareció la publicidad de pago-por-clics. Allá por 2005, New Scientist sugirió que la plataforma AdWords de Google podría ser vulnerable a tales ataques. Pero este último timo destaca por su escala e inteligencia.
Los bots maliciosos se han desbocado en 2016. Durante los últimos meses, un ejército de dispositivos conectados a internet ha sido acorralado y controlado para deshabilitar grandes secciones de internet. Las malas noticias son que, a diferencia de los bots del timo de publicidad, cada vez hay más dispositivos infectados, se ofrecen en modo de alquiler y son peligrosos.
(Para saber más: White Ops, CNN, Alquile su propio ejército de aparatos zombi para atacar internet por solo 7.000 euros, El "creciente y masivo" riesgo de IoT puede acabar cobrándose vidas humanas)