En el maremágnum de internet el usuario es bombardeado con decenas de anuncios. Son tan dirigidos y pertinentes que el ‘clic’ es muy probable, algo que, por supuesto, los ciberdelincuentes están empezando a usar para sus ataques. Las principales perjudicadas, además del consumidor, son las agencias de marketing digital.

El phishing no perdona…, ni a la publicidad

La llegada de los grandes buscadores y las redes sociales dio, hace unos pocos años, inicio a una explosión de campañas publicitarias. Ya no se necesitaba ser una gran marca que pudiera invertir millones (sí, millones) en spots televisivos, vallas o páginas enteras en las publicaciones más cotizadas.

Ahora, con ‘solo unos pocos euros’ cualquiera puede posicionar su pequeña tienda de barrio en el universo digital, apoyarse en microinfluencers para que hablen bien de ellos y, lo que es mejor, asegurarse de que llega al público que quería llegar (el big data se encarga de ello). Y con esta tendencia surgieron las agencias de marketing digital, que les ayudan a gestionar estas nuevas campañas. 

El consumidor sigue siendo bombardeado por anuncios, ahora desde un frente más que son las pantallas de su móvil, su tableta o su ordenador, con la diferencia de que esta nueva publicidad es mucho más ajustada y dirigida a sus preferencias, por lo que es más fácil que reaccione a ella ‘pinchando’ para tener más información o para comprar ese producto o servicio que se le ofrece. 

“Y todo esto, para los ciberdelincuentes, está resultando ser un nuevo campo de juegos”, explica  Hervé Lambert Global Consumer Operations Manager de Panda Security.

“Igual que lo han sido los bancos o las empresas de mensajería, ahora es la publicidad dirigida la que parece estar siendo aprovechada para esas actividades maliciosas ‘de toda la vida’: suplantar sitios legítimos para robar datos personales, hackearlos para que se conviertan en una puerta de entrada a los sistemas de los usuarios o, directamente, vender productos fraudulentos”.

Primera línea de defensa

El abuso, y sobre todo el mal uso de las herramientas de programación de campañas digitales podría marcar el principio de su final, y las grandes perjudicadas serían las agencias de marketing digital legítimas a través de las cuales se suelen perpetrar estos ataques.

Muchas de ellas han sido ‘descubiertas’ y alertadas por las propias plataformas -que están siendo ayudadas por sistemas de IA, en un alarde de buena ciberseguridad- y están recibiendo mensajes como éste de Meta advirtiéndoles de que su publicidad (o anuncio patrocinado, o pago para posicionamiento SEO) incumple las normas de la compañía, como pueden ser:

  • Información incorrecta
  • Fraude o intento de timo
  • Palabras prohibidas

Un momento…, ¿es Meta quien les alerta o esto es, también, un fake para hacerse con sus claves y nombres de usuarios en la plataforma y, ahora sí, usarlas para ataques de phishing?.

“Hemos detectado que son bastantes las agencias de marketing digital que están recibiendo este tipo de comunicados. Y sean o no falsos, está claro que están siendo atacadas. Si lo son, porque tratan de conseguir sus datos con este tipo de mensajes cuando las agencias quieran ‘verificar’ esa información. Si no lo son, es porque ya las han suplantado y generado campañas ilegales en su nombre”, explica Lambert.

El abuso, y sobre todo el mal uso de las herramientas de programación de campañas digitales podría marcar el principio de su final. Las grandes perjudicadas serían las agencias de marketing digital legítimas a través de las cuales se suelen perpetrar estos ataques.

Ante ello, las pequeñas agencias, que ya se han convertido o se convertirán en una especie de intermediarias para cometer actos delictivos poco pueden hacer más que reforzar sus medidas de seguridad informática y vigilar.

Y si la IA es capaz de detectar este tipo de ‘oportunidades’ tal vez su uso sea también la opción más acertada para repelerlos. Como hemos comentado, Meta es una de las grandes (pero no la única) que ya está, de hecho, utilizándola para detectar estas violaciones de sus políticas de buenas prácticas y está funcionando. Aunque ante el pánico de posibles ataques, también es posible que se esté pecando de exceso de celo y, en el interim, dejando a muchas agencias bloqueadas y sin posibilidad de realizar sus campañas hasta que el caso se resuelve.

Algunos consejos

Ante una alerta o supuesta amenaza de hackeo de nuestra cuenta lo más importante es ponerse en marcha rápidamente y seguir estos pasos:

  • Lo primero, verificar si realmente hemos incumplido la normativa de la plataforma en cuestión y en caso de que sí, retirar la campaña.
  • Haya sido así o no, deberemos ponernos en contacto rápidamente con el servicio de atención de la plataforma y reportar los hechos.
  • Tengamos paciencia, a veces la resolución, o siquiera la respuesta, es rápida.
  • Verifiquemos nuestras contraseñas, para saber si están comprometidas. Pasemos un programa de antivirus o de detección de amenazas en el ordenador o red que solamos utilizar para realizar nuestras campañas. Si el sistema detecta algún software malicioso hay que eliminarlo y, posiblemente, crear nuevas cuentas con contraseñas seguras.
  • Realizar sesiones de control regulares, para tratar de detectar alguna actividad inusual en nuestras cuentas o nuestras campañas. A veces puede ser algún mail que no recordamos haber enviado, o una campaña que ‘parece’ igual que la nuestra con alguna pequeña diferencia.

“Uno de los escollos que encontramos en las políticas de restricción de las grandes plataformas tecnológicas es que son lo más restrictivas posible puesto que tienen que cumplir con la normativa (y los gustos) de todos los países donde operan, lo que muchas veces choca con la cultura de otros lugares. Las agencias de publicidad digital no pueden más que adaptarse si quieren seguir explotando este filón”, concluye Lambert.