Más de 17 dependencias gubernamentales en México, incluidas instituciones clave como el Servicio de Administración Tributaria (SAT), el Instituto Mexicano del Seguro Social (IMSS) y el Infonavit, están en riesgo de ser víctimas de fraude debido a una sofisticada campaña maliciosa que utiliza anuncios falsos en Google Ads, según un reporte de SILIKN, empresa especializada en ciberseguridad.
La amenaza detectada por la unidad de investigación de SILIKN revela que ciberdelincuentes de distintas regiones del mundo, como Latinoamérica, Asia y Europa del Este, han estado imitando las páginas de inicio de sesión de Google Ads. Su objetivo es engañar a los usuarios para robar credenciales de acceso y luego utilizarlas para ejecutar campañas fraudulentas, difundir malware y financiar otras actividades ilícitas.
Cómo operan los cibercriminales que suplantan a Google Ads
Los estafadores logran engañar a las víctimas al mostrar anuncios con URLs que parecen legítimas, como ads[.]google[.]com, lo que las hace prácticamente indistinguibles de los anuncios reales de Google. Una vez que los usuarios hacen clic, son dirigidos a páginas fraudulentas alojadas en Google Sites, una herramienta de creación de sitios web de la misma compañía, lo que les permite sortear los filtros de seguridad de la plataforma.
“La táctica es sencilla pero muy eficaz. Los anuncios fraudulentos se ven legítimos porque están alojados en dominios oficiales de Google, lo que dificulta que las víctimas detecten el engaño”, advirtió Víctor Ruiz, fundador de SILIKN y especialista en ciberseguridad.
Dependencias gubernamentales en riesgo de ataque
Las instituciones gubernamentales que utilizan Google Ads para trámites y servicios públicos son el blanco principal de estos ataques. Entre las entidades más vulnerables se encuentran:
- Servicio de Administración Tributaria (SAT)
- Instituto Mexicano del Seguro Social (IMSS)
- Instituto del Fondo Nacional de la Vivienda para los Trabajadores (Infonavit)
- Secretaría de Educación de Veracruz
- Subsecretaría de Educación Media Superior
- Diversos ayuntamientos de los estados de México, Jalisco, Michoacán, Guerrero, Tlaxcala y Baja California.
El riesgo no es menor, ya que estas dependencias gestionan información financiera, de salud y educativa de millones de ciudadanos, y su compromiso podría derivar en fraudes masivos, robo de identidad y pérdidas económicas significativas.
Impacto de la amenaza cibernética
Google Ads es una plataforma que generó aproximadamente 175 mil millones de dólares en ingresos por publicidad en 2023, por lo que cualquier incidente que afecte su credibilidad impacta tanto a anunciantes como a usuarios finales. Si los ciberdelincuentes logran el acceso a cuentas gubernamentales, podrían difundir anuncios falsos, desviar fondos y distribuir malware dirigido a los ciudadanos que buscan realizar trámites legítimos en línea.
Recomendaciones para prevenir este tipo de fraudes
Ante esta amenaza latente, SILIKN recomienda a las dependencias gubernamentales implementar medidas de seguridad urgentes como:
- Habilitar la autenticación multifactor en todas las cuentas de Google Ads.
- Monitorear constantemente la actividad de sus cuentas publicitarias para detectar anomalías.
- Capacitar al personal sobre la identificación de intentos de phishing y fraudes digitales.
- Realizar auditorías periódicas de seguridad en sus campañas de anuncios.
- Colaborar con expertos en ciberseguridad para fortalecer la protección de sus plataformas digitales.
Postura de Google
“Tenemos políticas estrictas que rigen el tipo de anuncios que permitimos en nuestra plataforma, y nuestros equipos de control monitorean constantemente los anuncios para garantizar que los actores maliciosos no engañen a los usuarios. Cuando encontramos anuncios que violan nuestras políticas, tomamos medidas necesarias para garantizar su cumplimiento, incluida la eliminación del anuncio. Estamos invirtiendo mucho en la detección y control de los anuncios fraudulentos y además alentamos a nuestros usuarios a que reporten anuncios que consideren que violan nuestras políticas para que podamos revisarlos y tomar las medidas necesarias para ayudarnos a mejorar nuestros resultados, para garantizar que nuestros usuarios tengan una experiencia segura y positiva, así como para cumplir con las leyes aplicables”.
