{"id":551,"date":"2026-04-14T17:04:25","date_gmt":"2026-04-14T17:04:25","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/la-estafa-pushpaganda-impulsada-por-ia-aprovecha-google-discover-para-difundir-scareware-y-fraude-publicitario-cyberdefensa-mx\/"},"modified":"2026-04-14T17:04:25","modified_gmt":"2026-04-14T17:04:25","slug":"la-estafa-pushpaganda-impulsada-por-ia-aprovecha-google-discover-para-difundir-scareware-y-fraude-publicitario-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/la-estafa-pushpaganda-impulsada-por-ia-aprovecha-google-discover-para-difundir-scareware-y-fraude-publicitario-cyberdefensa-mx\/","title":{"rendered":"La estafa Pushpaganda impulsada por IA aprovecha Google Discover para difundir scareware y fraude publicitario \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han desenmascarado un novedoso esquema de fraude publicitario que aprovecha t\u00e9cnicas de envenenamiento de motores de b\u00fasqueda (SEO) y contenido generado por inteligencia artificial (IA) para introducir noticias enga\u00f1osas en el sitio web de Google. Descubre el feed<\/a> y enga\u00f1ar a los usuarios para que habiliten notificaciones persistentes en el navegador que conducen a scareware y estafas financieras.<\/p>\n

La campa\u00f1a, que se ha descubierto que se dirige a los feeds de contenido personalizados de los usuarios de Android y Chrome, lleva el nombre en c\u00f3digo pushpaganda<\/strong> por el equipo de investigaci\u00f3n e inteligencia sobre amenazas Satori de HUMAN.<\/p>\n

\u00abEsta operaci\u00f3n, llamada as\u00ed por las notificaciones autom\u00e1ticas centrales para el esquema, genera tr\u00e1fico org\u00e1nico no v\u00e1lido desde dispositivos m\u00f3viles reales al enga\u00f1ar a los usuarios para que se suscriban y activen notificaciones que presentan mensajes alarmantes\u00bb, investigadores Louisa Abel, Vikas Parthasarathy, Jo\u00e3o Santos y Adam Sell dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En su punto m\u00e1ximo, alrededor de 240 millones de solicitudes de oferta se asociaron con 113 dominios vinculados a la campa\u00f1a durante un per\u00edodo de siete d\u00edas. La amenaza, aunque se observ\u00f3 que apuntaba a la India, desde entonces se ha expandido a otras regiones como Estados Unidos, Australia, Canad\u00e1, Sud\u00e1frica y el Reino Unido.<\/p>\n

Los hallazgos demuestran c\u00f3mo los actores de amenazas abusan de la IA para secuestrar superficies de descubrimiento confiables y convertirlas en veh\u00edculos de entrega de scareware, deepfakes y fraude financiero, dijo Gavin Reid, director de seguridad de la informaci\u00f3n de HUMAN. Desde entonces, Google ha implementado una soluci\u00f3n para solucionar el problema del spam.<\/p>\n

Todo el plan depende de que los estafadores atraigan a usuarios desprevenidos a trav\u00e9s de Google Discover para enga\u00f1arlos y hacerles visitar noticias enga\u00f1osas llenas de contenido generado por IA. Una vez que un usuario llega a uno de los dominios controlados por el actor, se le obliga a habilitar notificaciones autom\u00e1ticas que generan estafas y amenazas legales falsas.<\/p>\n

Espec\u00edficamente, una vez que se hace clic en las notificaciones de scareware, se redirige a los usuarios a sitios adicionales operados por los actores de la amenaza, lo que genera tr\u00e1fico org\u00e1nico a los anuncios integrados en esos sitios y les permite generar ingresos il\u00edcitos.<\/p>\n

\"\"<\/a><\/div>\n

Esta no es la primera vez que los actores de amenazas utilizan las notificaciones autom\u00e1ticas como arma para redirigir a sitios web sospechosos. En septiembre de 2025, Infoblox arroj\u00f3 luz sobre un actor de amenazas conocido como Vane Viper que se ha involucrado en un abuso sistem\u00e1tico de notificaciones autom\u00e1ticas para publicar anuncios y facilitar campa\u00f1as de ingenier\u00eda social al estilo ClickFix.<\/p>\n

\u00abLas amenazas basadas en malware que involucran notificaciones autom\u00e1ticas, tanto para plataformas web como m\u00f3viles, no son una amenaza novedosa, especialmente si se considera la forma en que crean una sensaci\u00f3n de urgencia\u00bb, dijo a The Hacker News Lindsay Kaye, vicepresidenta de inteligencia de amenazas de HUMAN Security. \u00abEn muchos casos, los usuarios hacen clic r\u00e1pidamente, ya sea para hacer que desaparezcan o para obtener m\u00e1s informaci\u00f3n, lo que los convierte en una herramienta eficaz en el arsenal de un autor de malware\u00bb.<\/p>\n

La divulgaci\u00f3n tambi\u00e9n se produce poco m\u00e1s de un mes despu\u00e9s de que HUMAN identificara una colecci\u00f3n de m\u00e1s de 3.000 dominios y 63 aplicaciones de Android que, seg\u00fan dijo, constitu\u00eda uno de los mercados de lavado de fraude publicitario m\u00e1s grandes jam\u00e1s descubierto. Apodado Low5 por su uso de sitios de noticias y juegos basados \u200b\u200ben HTML5, se ha descubierto que la operaci\u00f3n monetiza los dominios como sitios de retiro de dinero para sofisticados esquemas de fraude, incluido BADBOX 2.0.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abLa operaci\u00f3n alcanz\u00f3 un m\u00e1ximo de aproximadamente 2 mil millones de solicitudes de ofertas por d\u00eda y puede haber operado en hasta 40 millones de dispositivos en todo el mundo\u00bb, dijo la compa\u00f1\u00eda. dicho<\/a>. \u00abLas aplicaciones asociadas con Low5 incluyen un c\u00f3digo que indica a los dispositivos de los usuarios que visiten uno de los dominios conectados con el esquema y hagan clic en los anuncios que se encuentran all\u00ed\u00bb.<\/p>\n

Los sitios de retiro de efectivo, tambi\u00e9n llamados sitios fantasma, se utilizan para realizar fraudes basados \u200b\u200ben contenido, donde los atacantes utilizan sitios y aplicaciones falsos para vender espacio a anunciantes que pueden asumir que sus anuncios ser\u00e1n vistos por humanos. Las aplicaciones de Android en cuesti\u00f3n se eliminaron de Google Play Store.<\/p>\n

\u00abUna capa de monetizaci\u00f3n compartida que abarca m\u00e1s de 3000 dominios permite que m\u00faltiples actores de amenazas se conecten a la misma infraestructura, creando un sistema de lavado distribuido que aumenta la resistencia a las amenazas, complica la atribuci\u00f3n y permite una replicaci\u00f3n r\u00e1pida\u00bb, a\u00f1adi\u00f3 HUMAN.<\/p>\n

\u00abUna conclusi\u00f3n clave de esta investigaci\u00f3n es que la infraestructura de monetizaci\u00f3n puede sobrevivir incluso despu\u00e9s de que se cierre una campa\u00f1a de fraude espec\u00edfica. Si se elimina una aplicaci\u00f3n o red de dispositivo malicioso, otros actores a\u00fan pueden reutilizar los mismos dominios de retiro. Low5 refuerza la necesidad de una inteligencia de amenazas continua y agresiva y experiencia en detecci\u00f3n para buscar dominios de retiro y marcarlos antes de la oferta\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han desenmascarado un novedoso esquema de fraude publicitario que aprovecha t\u00e9cnicas de envenenamiento de motores de b\u00fasqueda (SEO) y contenido generado por inteligencia artificial (IA) para introducir noticias enga\u00f1osas en el sitio web de Google. Descubre el feed y enga\u00f1ar a los usuarios para que habiliten notificaciones persistentes en el navegador que […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[734,24,1495,1807,751,1676,256,1180,36,127,1809,1806,1808],"class_list":["post-551","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-aprovecha","tag-cyberdefensa-mx","tag-difundir","tag-discover","tag-estafa","tag-fraude","tag-google","tag-impulsada","tag-para","tag-por","tag-publicitario","tag-pushpaganda","tag-scareware"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=551"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/551\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}