Estafa Pushpaganda: El engaño con IA que infecta Google Discover

En el panorama digital actual, donde la línea entre la información legítima y la manipulación sofisticada se vuelve cada vez más tenue, ha surgido una amenaza que redefine el concepto de seguridad en la navegación móvil. La reciente revelación por parte del equipo de inteligencia de amenazas Satori de HUMAN Security ha puesto en el punto de mira a una campaña de fraude publicitario y engaño a gran escala, bautizada como “estafa Pushpaganda”. Este esquema no solo representa un peligro para la billetera de los usuarios, sino que marca un cambio de paradigma en cómo los actores de amenazas están instrumentalizando la Inteligencia Artificial (IA) para infiltrarse en espacios de alta confianza.

¿Qué es la estafa Pushpaganda y cómo funciona?

La estafa Pushpaganda no es un simple ataque de phishing tradicional; es un ecosistema complejo de ingeniería social diseñado para explotar la arquitectura de distribución de contenido de Google. El objetivo principal de los atacantes es insertar artículos de noticias engañosos, creados mediante IA generativa, directamente en el feed personalizado de Google Discover de usuarios de Android y Chrome. La eficacia de este método radica en que el usuario percibe este contenido como parte de un flujo de noticias verificado o relevante para sus intereses personales.

El ciclo operativo de esta amenaza se puede desglosar en fases técnicas precisas:

• Envenenamiento de SEO y Captación: Los atacantes crean una infraestructura masiva compuesta por cientos de dominios (se han identificado al menos 113 dominios vinculados a la campaña). Utilizando técnicas de optimización de motores de búsqueda (SEO) y posiblemente inserción de contenido patrocinado, logran que estos sitios aparezcan en los feeds de Google Discover.
• Engaño mediante IA: Una vez que el usuario hace clic en el enlace, es redirigido a un sitio web aparentemente informativo. Este contenido está íntegramente generado por IA para parecer creíble, sensacionalista y urgente, lo que incita al usuario a seguir interactuando con el sitio.
• Coacción de Notificaciones: La trampa definitiva se activa cuando el sitio web manipula al usuario para que acepte “notificaciones del navegador”. Una vez habilitadas, el control del usuario sobre la experiencia de navegación se debilita drásticamente.
• Entrega de Scareware y Fraude: Mediante estas notificaciones persistentes, los atacantes envían alertas falsas de seguridad, amenazas legales ficticias o advertencias de errores críticos del sistema. Estas notificaciones actúan como un vehículo para redirigir a los usuarios a sitios secundarios diseñados para robar información financiera o estafar dinero bajo la premisa de “resolver” el problema técnico inexistente.

La escala del peligro: Números que alarman

La magnitud de la estafa Pushpaganda es, cuanto menos, aterradora. En su punto máximo de actividad, los investigadores de HUMAN observaron aproximadamente 240 millones de solicitudes de puja (bid requests) asociadas a estos dominios en un solo periodo de siete días. Esta cifra no solo refleja la cantidad de tráfico generado, sino también la cantidad de dispositivos comprometidos y la escala a la que se ha monetizado este fraude a través del ecosistema publicitario.

Aunque la campaña se detectó originalmente en la India, su capacidad de expansión ha sido inmediata. La amenaza ha escalado rápidamente hacia mercados globales, impactando a usuarios en los Estados Unidos, el Reino Unido, Canadá y Australia. Este comportamiento demuestra que los ciberdelincuentes están perfeccionando sus tácticas para realizar campañas transnacionales, aprovechando las infraestructuras de anuncios digitales en diversos idiomas y contextos culturales.

El papel de la IA en la era del engaño

Lo que hace que la estafa Pushpaganda sea particularmente peligrosa es la integración de la Inteligencia Artificial no solo para generar el contenido de los señuelos, sino para automatizar la creación y gestión de toda la red de dominios. La IA permite a los atacantes:

1. Escalabilidad sin precedentes: Generar miles de variaciones de artículos y páginas de destino en cuestión de minutos, dificultando que los sistemas de detección convencionales basados en firmas de contenido puedan bloquearlos a tiempo.
2. Optimización constante: Utilizar modelos de aprendizaje automático para ajustar los títulos y las imágenes que tienen más probabilidades de atraer clics en Google Discover, optimizando así la “tasa de conversión” del ataque.
3. Evasión de filtros: Al rotar constantemente entre dominios, los atacantes logran evadir las listas negras de seguridad antes de que estas sean actualizadas por los proveedores de servicios web.

El riesgo real: ¿Por qué es diferente esta vez?

Históricamente, la mayoría de los usuarios aprendió a ser escéptico ante correos electrónicos sospechosos o ventanas emergentes (pop-ups) en sitios web de dudosa procedencia. Sin embargo, la estafa Pushpaganda ataca una superficie que los usuarios consideran inherentemente segura: los feeds personalizados de los gigantes tecnológicos.

Al infiltrarse en Google Discover, los atacantes están hackeando la confianza del usuario. Cuando vemos una noticia en nuestra pantalla de inicio de Android o al abrir una pestaña nueva en Chrome, tendemos a bajar la guardia. La inteligencia artificial ha perfeccionado el arte de la suplantación, haciendo que las historias falsas se vean indistinguibles de las fuentes legítimas de noticias.

Además, el uso de notificaciones persistentes permite a los atacantes mantener el contacto con la víctima incluso después de que esta haya abandonado el sitio web original. Esto convierte al navegador del usuario en un conducto directo para la ingeniería social, donde el miedo y la urgencia son las herramientas principales para extorsionar a los usuarios más vulnerables.

Recomendaciones para protegerse ante la estafa Pushpaganda

Ante este tipo de amenazas, la vigilancia proactiva es fundamental. Aquí detallamos algunas estrategias de defensa para los usuarios:

• Auditoría de notificaciones: Revise periódicamente la configuración de su navegador y de sus dispositivos Android para ver qué sitios tienen permiso para enviar notificaciones. Elimine los permisos de todos los sitios que no reconozca o que no considere estrictamente necesarios.
• Desconfíe de la urgencia: Cualquier sitio web o notificación que le alerte sobre problemas de seguridad en su teléfono, que lo amenace con acciones legales o que le exija un pago inmediato es, casi con toda seguridad, una estafa.
• Verifique la fuente: Si encuentra un artículo en su feed de noticias, tómese un segundo para verificar la URL. A menudo, los dominios utilizados en este tipo de fraudes tienen nombres extraños, extensiones inusuales o no corresponden a medios de comunicación reconocidos.
• Utilice herramientas de seguridad: Mantenga sus navegadores actualizados y considere el uso de extensiones que bloqueen scripts maliciosos o anuncios invasivos, lo que puede proporcionar una capa adicional de protección contra redirecciones no deseadas.

Un llamado a la industria de la tecnología

La revelación de la estafa Pushpaganda subraya una verdad incómoda: la carrera armamentística en ciberseguridad ha entrado en una fase donde la IA es el arma preferida tanto por atacantes como por defensores. Si bien Google ha trabajado para implementar correcciones destinadas a frenar este tipo de spam, el hecho de que una campaña de esta magnitud lograra alcanzar millones de impresiones demuestra que las medidas actuales pueden ser insuficientes frente a la velocidad de la IA generativa.

La solución no puede recaer únicamente sobre el usuario. Es imperativo que las plataformas de descubrimiento de contenido mejoren sus algoritmos de detección de contenido generado por IA que busca manipular el sistema. Se requieren mecanismos de verificación más estrictos para las entidades que publican en estas redes y un escrutinio más profundo de los SDK publicitarios que facilitan el flujo de dinero hacia estos dominios maliciosos.

En última instancia, la estafa Pushpaganda nos recuerda que, en la era de la IA, el activo más valioso sigue siendo nuestra capacidad de discernimiento. Mantenernos informados sobre estas nuevas metodologías de ataque es la mejor defensa que tenemos para navegar en un internet que, aunque cada vez más inteligente, es también cada vez más engañoso.