Malvertising
El Malvertising (del inglés malicious advertising) consiste en introducir malware en la publicidad en línea para extender otro malware. El atacante se aprovecha de ser un anunciante para buscar fallos de seguridad en el software subyacente y, si los encuentra, los aprovecha para instalar software malicioso sin que el usuario sea consciente. Debido a su propia naturaleza, es frecuente llevar a cabo el ataque a través de la web y por tanto la aplicación en la que se buscan los fallos es en el navegador y los plugins instalados en este como Flash o Acrobat Reader.[1][2] También se han realizado campañas de Malvertising sobre aplicaciones móviles como la de Spotify.[3]
Impacto
[editar]A pesar de que suele ocurrir en sitios de internet que proporcionan contenido ilegal (como la descarga de películas), a veces se abre camino entreplataformas más convencionales como Spotify,[3] eBay,[4] New York Times,[5] Yahoo.com,[6] el portal de noticias de MSN, la web en inglés de la BBC, redes de distribución de publicidad como DoubleClick o Zedo.[7] Según algunos estudios en 2015, más de un tercio de las páginas web más visitadas del mundo fueron infectadas con malware a través de anuncios malintencionados. Esto lleva a que sea difícil bloquear este tipo de ataques de forma segura.[8]
Tipos
[editar]Hay muchos métodos diferentes que utilizan anuncios maliciosos:
- Los ventana emergente y los banners en los sitios web pueden provocar la descarga y difusión de contenido malicioso[9]
- La publicidad en el texto o en el contenido puede tener texto ajustado para incluir hipervínculos maliciosos asociados con el contenido[9]
- Las descargas no autorizadas son la actividad de descargar un archivo malicioso sin el consentimiento del usuario mientras visita un sitio web[9]
- Publicidad móvil a través de promociones por SMS[9]
Prevención
[editar]Las principales formas de prevención consisten en:[2][8]
- Mantener software actualizado especialmente del sistema operativo, navegadores, software de seguridad y plataformas que ejecutan código como java o Flash.
- Evitar instalar plugins, a menos que sean absolutamente necesarios y, si lo haces, verificar los permisos requeridos.
- Habilitar la función "click-to-play", disponible en la mayoría de los navegadores, de forma que antes de ejecutar cualquier plugin, debas dar permiso para ejecutarlo.
- Usar software seguro que bloquee la publicidad. Este tipo de prevención es muy frecuente en la web. En otro tipo de aplicaciones, como las aplicaciones móviles, este tipo de software no suele existir. De hecho en muchas aplicaciones la única forma de quitar publicidad es mediante el pago de una cuenta premium.[3]
- Tener software de seguridad instalado.
- Proteger las configuraciones avanzadas del software de seguridad con contraseñas robustas.
Referencias
[editar]- ↑ Malvertising». SANS ISC, 06-12-2007. [Consulta: 5 agost 2010].
- ↑ a b ¿Sabes lo que es el malvertising y cómo estar protegido frente a él?. Oficina de seguridad del Internauta 2015
- ↑ a b c Spotify hit by 'malvertising' in app. Alex Hern. The Guardian. 6 de Octubre de 2016.
- ↑ Ads on Ebay and Drudge Report Were Coopted by Malware for Three Weeks. Lorenzo Franceschi-Bicchierai. Vice.com. 14 de Septiembre de 2015
- ↑ Internet companies face up to 'malvertising' threat. Bobbie Johnson,. The Guardian. 25 de septiembre de 2009
- ↑ Yahoo users hit by 'malvertising' campaign. Alex Hern. The Guardian. 5 Agosto 2015
- ↑ Malicious advertisements distributed by DoubleClick, Zedo networks. Jeremy Kirk. IDG News Services. 19 de Septiembre de 2014
- ↑ a b Cómo funciona el "malvertising", la publicidad maliciosa que se esconde entre los anuncios de internet. BBC Mundo 2016
- ↑ a b c d Jyotiyana, Priya; Maheshwari, Saurabh (2016). «A Literature Survey on Malware and Online Advertisement Hidden Hazards». En Corchado Rodriguez, Juan Manuel, ed. Intelligent Systems Technologies and Applications 2016. Advances in Intelligent Systems and Computing (en inglés) (Springer International Publishing): 449-460. ISBN 978-3-319-47952-1. doi:10.1007/978-3-319-47952-1_35. Consultado el 2 de febrero de 2024.