Investigadores de ciberseguridad han desenmascarado un novedoso esquema de fraude publicitario que aprovecha técnicas de envenenamiento de motores de búsqueda (SEO) y contenido generado por inteligencia artificial (IA) para introducir noticias engañosas en el sitio web de Google. Descubre el feed y engañar a los usuarios para que habiliten notificaciones persistentes en el navegador que conducen a scareware y estafas financieras.

La campaña, que se ha descubierto que se dirige a los feeds de contenido personalizados de los usuarios de Android y Chrome, lleva el nombre en código pushpaganda por el equipo de investigación e inteligencia sobre amenazas Satori de HUMAN.

«Esta operación, llamada así por las notificaciones automáticas centrales para el esquema, genera tráfico orgánico no válido desde dispositivos móviles reales al engañar a los usuarios para que se suscriban y activen notificaciones que presentan mensajes alarmantes», investigadores Louisa Abel, Vikas Parthasarathy, João Santos y Adam Sell dicho en un informe compartido con The Hacker News.

En su punto máximo, alrededor de 240 millones de solicitudes de oferta se asociaron con 113 dominios vinculados a la campaña durante un período de siete días. La amenaza, aunque se observó que apuntaba a la India, desde entonces se ha expandido a otras regiones como Estados Unidos, Australia, Canadá, Sudáfrica y el Reino Unido.

Los hallazgos demuestran cómo los actores de amenazas abusan de la IA para secuestrar superficies de descubrimiento confiables y convertirlas en vehículos de entrega de scareware, deepfakes y fraude financiero, dijo Gavin Reid, director de seguridad de la información de HUMAN. Desde entonces, Google ha implementado una solución para solucionar el problema del spam.

Todo el plan depende de que los estafadores atraigan a usuarios desprevenidos a través de Google Discover para engañarlos y hacerles visitar noticias engañosas llenas de contenido generado por IA. Una vez que un usuario llega a uno de los dominios controlados por el actor, se le obliga a habilitar notificaciones automáticas que generan estafas y amenazas legales falsas.

Específicamente, una vez que se hace clic en las notificaciones de scareware, se redirige a los usuarios a sitios adicionales operados por los actores de la amenaza, lo que genera tráfico orgánico a los anuncios integrados en esos sitios y les permite generar ingresos ilícitos.

Esta no es la primera vez que los actores de amenazas utilizan las notificaciones automáticas como arma para redirigir a sitios web sospechosos. En septiembre de 2025, Infoblox arrojó luz sobre un actor de amenazas conocido como Vane Viper que se ha involucrado en un abuso sistemático de notificaciones automáticas para publicar anuncios y facilitar campañas de ingeniería social al estilo ClickFix.

«Las amenazas basadas en malware que involucran notificaciones automáticas, tanto para plataformas web como móviles, no son una amenaza novedosa, especialmente si se considera la forma en que crean una sensación de urgencia», dijo a The Hacker News Lindsay Kaye, vicepresidenta de inteligencia de amenazas de HUMAN Security. «En muchos casos, los usuarios hacen clic rápidamente, ya sea para hacer que desaparezcan o para obtener más información, lo que los convierte en una herramienta eficaz en el arsenal de un autor de malware».

La divulgación también se produce poco más de un mes después de que HUMAN identificara una colección de más de 3.000 dominios y 63 aplicaciones de Android que, según dijo, constituía uno de los mercados de lavado de fraude publicitario más grandes jamás descubierto. Apodado Low5 por su uso de sitios de noticias y juegos basados ​​en HTML5, se ha descubierto que la operación monetiza los dominios como sitios de retiro de dinero para sofisticados esquemas de fraude, incluido BADBOX 2.0.

«La operación alcanzó un máximo de aproximadamente 2 mil millones de solicitudes de ofertas por día y puede haber operado en hasta 40 millones de dispositivos en todo el mundo», dijo la compañía. dicho. «Las aplicaciones asociadas con Low5 incluyen un código que indica a los dispositivos de los usuarios que visiten uno de los dominios conectados con el esquema y hagan clic en los anuncios que se encuentran allí».

Los sitios de retiro de efectivo, también llamados sitios fantasma, se utilizan para realizar fraudes basados ​​en contenido, donde los atacantes utilizan sitios y aplicaciones falsos para vender espacio a anunciantes que pueden asumir que sus anuncios serán vistos por humanos. Las aplicaciones de Android en cuestión se eliminaron de Google Play Store.

«Una capa de monetización compartida que abarca más de 3000 dominios permite que múltiples actores de amenazas se conecten a la misma infraestructura, creando un sistema de lavado distribuido que aumenta la resistencia a las amenazas, complica la atribución y permite una replicación rápida», añadió HUMAN.

«Una conclusión clave de esta investigación es que la infraestructura de monetización puede sobrevivir incluso después de que se cierre una campaña de fraude específica. Si se elimina una aplicación o red de dispositivo malicioso, otros actores aún pueden reutilizar los mismos dominios de retiro. Low5 refuerza la necesidad de una inteligencia de amenazas continua y agresiva y experiencia en detección para buscar dominios de retiro y marcarlos antes de la oferta».

La Oficina Federal de Investigaciones (FBI) de EE. UU., en asociación con la Policía Nacional de Indonesia, ha desmantelado la infraestructura asociada con una operación de phishing global que aprovechó un conjunto de herramientas disponible en el mercado llamado W3LL para robar las credenciales de cuentas de miles de víctimas e intentar fraude por más de 20 millones de dólares.

Al mismo tiempo, las autoridades detuvieron al presunto desarrollador, identificado como GL, y confiscaron dominios clave vinculados al esquema de phishing. «La eliminación corta un recurso importante utilizado por los ciberdelincuentes para obtener acceso no autorizado a las cuentas de las víctimas», dijo el FBI. dicho en un comunicado.

El kit de phishing W3LL permitió a los delincuentes imitar páginas de inicio de sesión legítimas para engañar a las víctimas para que entregaran sus credenciales, permitiendo así a los atacantes tomar el control de sus cuentas. El kit de phishing se anunciaba por una tarifa de unos 500 dólares.

El kit de phishing permitió a sus clientes implementar sitios web falsos que imitaban a sus contrapartes legítimas, haciéndose pasar por portales de inicio de sesión confiables para recopilar credenciales.

«Esto no era sólo phishing, era una plataforma de cibercrimen de servicio completo», dijo el agente especial a cargo del FBI en Atlanta, Marlo Graham. «Continuaremos trabajando con nuestros socios encargados de hacer cumplir la ley nacionales y extranjeros, utilizando todas las herramientas disponibles para proteger al público».

W3LL fue documentado por primera vez por Group-IB, con sede en Singapur, en septiembre de 2023, destacando el uso por parte de los operadores de un mercado clandestino llamado W3LL Store que prestaba servicios a aproximadamente 500 actores de amenazas y les permitía comprar acceso al kit de phishing W3LL Panel junto con otras herramientas de cibercrimen para ataques de compromiso de correo electrónico empresarial (BEC).

La empresa de ciberseguridad describió W3LL como una plataforma de phishing todo en uno que ofrece una amplia gama de servicios, desde herramientas de phishing personalizadas y listas de correo hasta acceso a servidores comprometidos. Se cree que el actor de amenazas detrás del servicio ilícito ha estado activo desde 2017, y anteriormente desarrolló herramientas de spam de correo electrónico masivo como PunnySender y W3LL Sender.

Según el FBI, la Tienda W3LL también facilitó la venta de credenciales robadas y el acceso no autorizado al sistema, incluidas conexiones de escritorio remoto. Se estima que se vendieron más de 25.000 cuentas comprometidas en las tiendas entre 2019 y 2023.

«Centrado principalmente en las credenciales de Microsoft 365, W3LL utiliza un adversario en el medio (AitM) para secuestrar las cookies de sesión y evitar la autenticación multifactor», Hunt.io dicho en un informe publicado en marzo de 2024.

Luego, el año pasado, la empresa de seguridad francesa Sekoia, en su análisis de otro kit de phishing conocido como Sneaky 2FA, reveló que la herramienta «reutilizaba algunos fragmentos de código» del sindicato de phishing W3LL Store, añadiendo que en los últimos años han circulado versiones crackeadas de W3LL.

«Incluso después del cierre de W3LLSTORE en 2023, la operación continuó a través de plataformas de mensajería cifrada, donde la herramienta fue renombrada y comercializada activamente», dijo el FBI. «Solo entre 2023 y 2024, el kit de phishing se utilizó para atacar a más de 17.000 víctimas en todo el mundo».

«El desarrollador detrás de la herramienta recopiló y revendió el acceso a cuentas comprometidas, amplificando el alcance y el impacto del plan».

Nuestra nación ha entrado en una nueva carrera armamentista de fraude impulsada por la IA.

Con miles de millones de dólares en pérdidas por fraude aumentando tanto en el sector público como en el privado, está claro que las viejas formas de disuadir el fraude no están funcionando. Es por eso que necesitamos un nuevo manual que comience con la comprensión de cómo operan los estafadores, la evolución de nuestras defensas y el cambio a una postura proactiva que no sólo luche contra el fraude sino que lo persiga activamente.

En la era de la IA, tratar el fraude como un simple problema de puerta de entrada no funcionará. Este momento requiere que la industria, el gobierno y los consumidores trabajen juntos, reduzcan los silos y compartan inteligencia en tiempo real. El objetivo es ir más allá de la detección reactiva al comprender el ciclo de vida de una amenaza (desde su formación hasta su propagación) para que podamos intervenir antes de que establezca un punto de apoyo.

Durante décadas, el fraude ha sido tratado como una serie de incidentes aislados. Esta suposición falsa ha sustentado casi todos los esfuerzos pasados ​​para reprimirlo. Esos esfuerzos, aunque bien intencionados, no han dado en el blanco.

Ahora, a la luz de la decisión de la administración Trump Estrategia cibernética para Estados Unidos y la orden ejecutiva que lo acompaña, es fundamental comprender el panorama moderno del fraude y el papel central que desempeña la explotación de la identidad digital en él.

Nuevo investigación de Socure revela cuán dramáticamente está evolucionando el panorama.

El fraude se ha industrializado y los sindicatos del crimen organizado ejecutan operaciones globales, sistémicas, automatizadas y basadas en inteligencia artificial. Ninguna organización, servicio o programa es seguro. Los estafadores atacan programas gubernamentales, bancos, plataformas de tecnología financiera, empresas de telecomunicaciones y más, desdibujando la línea entre el fraude en el sector público, los delitos financieros y el ciberdelito.

Antes, el fraude podía detectarse mediante la reutilización de elementos de identidad en múltiples aplicaciones: el mismo correo electrónico, dispositivo, número de teléfono o dirección IP utilizados una y otra vez.

Pero los datos son claros: estos vínculos están disminuyendo rápidamente. Los estafadores sofisticados de hoy en día están diseñando sus ataques para evitar los patrones tradicionales de detección de fraude. Nuestra investigación demuestra que los correos electrónicos serán completamente únicos dentro de las poblaciones de fraude a partir de 2027, por lo que no podremos confiar en el correo electrónico para identificar patrones.

La velocidad es otra característica definitoria del fraude de identidad moderno. Los estafadores utilizan la IA para crear identidades limpias, duraderas, sintéticas y robadas a escala. En una campaña observada, se crearon y lanzaron 24.148 identidades sintéticas en menos de un mes, y muchos ataques ocurrieron en 48 horas. Lo que antes llevaba semanas o incluso meses, ahora se puede completar en días.

El rápido aumento de las granjas de identidad es otro indicador de la industrialización del fraude. Las granjas de identidad son operadas por redes criminales para crear sistemáticamente identidades sintéticas o robadas a lo largo del tiempo con el fin de parecerse mucho a identidades legítimas. Las identidades maduras se utilizan para abrir cuentas bancarias, de crédito y de movimiento de dinero, desviar beneficios gubernamentales, lavar fondos y más. Estas granjas de identidad se centran en identidades duraderas que pueden eludir los controles de verificación tradicionales.

Entonces, ¿qué debemos hacer? En pocas palabras, debemos pasar a la ofensiva.

Esto significa tratar la identidad como una infraestructura crítica e implementar estrategias que rastreen cómo se crearon las identidades antes del momento de su aplicación; ampliar el monitoreo de señales para incluir elementos como servidores proxy residenciales, comportamiento del ISP y actividad de registro de dominios; evaluar la velocidad y la orquestación en tiempo real; y tratar la medición continua, la iteración rápida de modelos y la inteligencia entre industrias como capacidades centrales.

Además, dado el rápido aumento del fraude, necesitamos más análisis del ecosistema completo, incluidos factores dinámicos como la información del dispositivo, las huellas digitales y la biometría del comportamiento para que las organizaciones puedan distinguir eficazmente a los humanos genuinos de las máquinas. En última instancia, este enfoque interconectado y en capas hace que sea mucho más difícil para los actores maliciosos recrear o robar identidades a escala.

El fraude ya no es una serie de actos aislados. Es una empresa global coordinada construida sobre la explotación de la identidad. Hasta que nuestros esfuerzos reflejen esta nueva realidad, continuaremos luchando contra una amenaza inminente y continua con herramientas obsoletas y nos quedaremos aún más atrás.

Ahora es el momento de hacer este cambio estratégico y poner finalmente a los estafadores pisándoles los talones.

Mike Cook se desempeña como jefe de conocimientos sobre fraude en Socure, la plataforma de identidad y riesgo para la era de la inteligencia artificial.