### Cibercriminales aprovechan el servicio 1Campaign para desplegar campañas maliciosas en Google Ads

#### Introducción

El ecosistema de la ciberdelincuencia sigue evolucionando con la aparición de nuevos servicios y herramientas orientadas a facilitar la distribución masiva de malware y phishing. Recientemente, se ha identificado un servicio denominado 1Campaign, que permite a actores maliciosos ejecutar campañas de anuncios en Google Ads diseñadas para permanecer activos durante largos periodos y eludir la detección tanto por parte de investigadores de ciberseguridad como de los sistemas automatizados de la propia plataforma publicitaria.

#### Contexto del Incidente o Vulnerabilidad

La tendencia de utilizar plataformas legítimas para propagar malware o realizar estafas no es nueva; sin embargo, el auge de servicios especializados como 1Campaign marca un salto cualitativo en la profesionalización y sofisticación de estas tácticas. El principal atractivo de 1Campaign radica en su capacidad para mantener los anuncios maliciosos activos más allá del tiempo habitual de vida que suelen conseguir campañas fraudulentas, sobre todo gracias a técnicas avanzadas de evasión y segmentación.

Este servicio ha sido detectado en foros clandestinos frecuentados por cibercriminales, donde se comercializa como una solución “todo en uno” para maximizar el retorno de inversión de campañas maliciosas en Google Ads, un canal que, pese a los controles de la propia Google, sigue siendo explotado como vector de ataque inicial.

#### Detalles Técnicos

Las campañas orquestadas a través de 1Campaign emplean técnicas de evasión altamente especializadas. Entre los vectores de ataque más frecuentes se encuentran:

– **Redirecciones condicionales:** Los anuncios maliciosos detectan el origen del visitante mediante fingerprinting (IP, User-Agent, referrers) y sólo muestran el contenido dañino a víctimas potenciales, ocultándolo a robots, investigadores o a empleados de Google.
– **Cloaking avanzado:** Se utilizan scripts que modifican dinámicamente el contenido del sitio en función del contexto de acceso, dificultando el análisis automatizado.
– **Payloads personalizados:** Entre los malware distribuidos se han identificado troyanos bancarios, infostealers y ransomware, empaquetados mediante técnicas de empaquetado polimórfico o loader-as-a-service.
– **Técnicas MITRE ATT&CK:** 1Campaign utiliza tácticas como Initial Access (T1190), Drive-by Compromise (T1189) y Spearphishing via Service (T1194).
– **Indicadores de Compromiso (IoCs):** URLs efímeras, dominios registrados con datos falsos, certificados TLS de corta duración y scripts ofuscados.

No se ha reportado una CVE específica en relación al servicio, ya que la vulnerabilidad explotada es de tipo “abuso de confianza” en la cadena de anuncios patrocinados de Google, más que una falla técnica concreta.

#### Impacto y Riesgos

El impacto de 1Campaign es significativo tanto para empresas como para usuarios particulares. Se estima que, en los primeros tres meses de actividad detectada, hasta un 0,5% de los anuncios en determinados sectores de alto valor (banca, criptomonedas, software corporativo) han sido manipulados mediante este servicio. El tiempo medio de vida de los anuncios maliciosos gestionados por 1Campaign supera las 36 horas, frente a las 6-8 horas habituales antes de ser bloqueados.

A nivel económico, se calcula que las pérdidas directas por robo de credenciales y fraude asociado podrían superar los 2 millones de euros en el primer semestre de 2024. Además, la exposición a riesgos regulatorios (GDPR, NIS2) aumenta para las empresas cuyos clientes resulten afectados por campañas de malware distribuidas a través de sus marcas en Google Ads.

#### Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a este tipo de campañas, se recomienda:

– **Monitorizar el tráfico de referencia** proveniente de anuncios patrocinados, identificando patrones inusuales y bloqueando dominios sospechosos.
– **Implementar sandboxing avanzado** para analizar de forma automatizada los destinos de anuncios antes de su publicación.
– **Actualizar las políticas de Google Ads** para exigir validaciones adicionales en sectores críticos.
– **Capacitación continua a usuarios** sobre los riesgos de descargar software o acceder a servicios a través de enlaces patrocinados.
– **Colaboración sectorial** para compartir IoCs en tiempo real, especialmente entre CERTs y equipos SOC.

#### Opinión de Expertos

Expertos en ciberseguridad, como miembros de la comunidad de análisis de amenazas y equipos de respuesta ante incidentes, advierten que la profesionalización de servicios como 1Campaign representa una amenaza significativa para la integridad de los ecosistemas publicitarios. “La capacidad de segmentar y filtrar el tráfico de investigadores supone un desafío técnico que exige una respuesta coordinada entre plataformas, empresas y organismos reguladores”, afirma un analista senior de amenazas en una multinacional de seguridad.

#### Implicaciones para Empresas y Usuarios

Las empresas deben extremar la vigilancia sobre la utilización de su marca en publicidad online, implementando mecanismos de denuncia rápida ante la detección de anuncios fraudulentos. Los usuarios, por su parte, deben desconfiar de enlaces patrocinados, especialmente en búsquedas relacionadas con servicios financieros o software, y priorizar el acceso directo a los sitios oficiales.

El riesgo reputacional, las sanciones derivadas de la normativa europea de protección de datos y la potencial pérdida de confianza de los clientes hacen imprescindible una revisión de las estrategias de monitorización y respuesta ante incidentes relacionados con campañas maliciosas en plataformas publicitarias.

#### Conclusiones

El auge de servicios como 1Campaign evidencia la necesidad de reforzar los mecanismos de detección y respuesta en el ámbito de la publicidad online. La colaboración intersectorial, el intercambio de inteligencia de amenazas y la actualización de procesos internos son claves para mitigar el impacto de estas campañas. La ciberseguridad debe evolucionar al ritmo del cibercrimen para proteger tanto a empresas como a usuarios de amenazas cada vez más sofisticadas.

(Fuente: www.bleepingcomputer.com)