Malvertising: cuando el anuncio es el ataque
Security & Privacy

Malvertising: cuando el anuncio es el ataque

Ad networks legítimos sirven drive-by exploits a través de los banners de los sitios en los que confías. Cómo funciona el malvertising, por qué se le escapa al antivirus y cómo el aislamiento del navegador detiene el daño.

BROWSER.LOL
15.01.2026
20 min de lectura
Compartir

Mark leía el New York Times a la hora de comer. No hizo clic en ningún enlace, no descargó ningún adjunto, no instaló nada. Una semana más tarde, su portátil del trabajo y otros cuatro de su equipo aparecían en un dashboard de ransomware en la dark web. La pista forense apuntaba a un único punto en común: un banner publicitario en la home de un sitio de noticias que estuvo envenenado entre las once y las doce.

Esto es malvertising. Un atacante cuela código malicioso en un ad network legítimo, y cualquiera cuyo navegador cargue el banner termina atacado sin haber clicado en nada. El sitio en el que estás es legítimo. El ad network es legítimo. Lo que ocurre es que la ad unit está sirviendo JavaScript que sondea tu navegador y, si encuentra una vulnerabilidad conocida, ejecuta código antes de que acabes de leer esta frase.

Qué es el malvertising en realidad

Los anuncios en la web no los sirve el editor del sitio. Se subastan en tiempo real en marketplaces programáticos, pasan por decenas de intermediarios y, tras uno o cuatro redirects, el creative final acaba dentro de un iframe en la misma página que estás leyendo. Cada redirect es otra ocasión para colar algo distinto de lo que el editor llegó a aprobar.

El malvertising aprovecha justo esa complejidad. El atacante compra ad space como cualquier cliente. Empieza sirviendo creatives limpias, supera la revisión y, unos días después, cambia al payload malicioso. O bien se hace con la cuenta de un comprador legítimo y mete su código en campañas que ya están en marcha.

El resultado es el mismo. Una web seria te muestra un banner capaz de atacarte. El sitio no ha hecho nada mal. Tú tampoco. El ataque sucede dentro de un frame que ni tú ni el sitio controláis.

Cómo un anuncio malicioso se hace con tu navegador

Un browser cargando una página que contiene un iframe, con una pequeña cadena de flechas de redirect que lleva a un icono de exploit kit

El ataque transcurre en cuatro fases, y las cuatro suceden antes de que el banner llegue siquiera a verse.

Probe. El script del iframe del anuncio lee tu user agent, la versión del navegador, los plugins, la zona horaria y unas cuantas características del dispositivo. En menos de 50 milisegundos sabe si mereces la pena como objetivo. Los portátiles corporativos con navegadores viejos pasan al frente, los Android personales se ignoran, los entornos conocidos de investigadores de seguridad quedan fuera.

Match. El script cruza tu firma con un catálogo de exploits. Exploit kits como RIG, Fallout o los sucesores más modernos al estilo Magnitude tienen ya preparada una biblioteca de vulnerabilidades conocidas, a menudo sin parchear.

Deliver. Si un exploit casa, el iframe carga un payload de segunda etapa. Puede ser una llamada manipulada al lector de PDF, un shader WebGL o un bug JIT en el motor JavaScript, cualquier cosa que rompa la sandbox del navegador en tu build concreta.

Execute. A partir de ahí, código ajeno corre con tus permisos. Instala un infostealer, un cryptominer o el acceso inicial que luego usará un grupo de ransomware. Mientras tanto, el banner se sigue mostrando con total normalidad, para que no notes nada raro.

Incidentes en sitios que conoces

El malvertising no es un riesgo teórico. El New York Times, la BBC, MSN, AOL y la home de Yahoo han acabado siendo puntos de distribución de malware vía ad networks, casi siempre sin enterarse hasta que algún investigador de seguridad sacó la campaña a la luz.

Forbes estuvo unos años bloqueando a los lectores con ad blocker y pidiéndoles que los desactivaran. Cuando muchos lectores hicieron caso, la revista terminó sirviendo malware desde su propio inventario publicitario, dos veces, en cuestión de semanas. El problema no es el editor. Es la cadena de suministro de la publicidad.

1 de cada 100

impresiones publicitarias puede servir código malicioso

72 horas

vida media de una campaña antes de ser detectada

+42 %

aumento de incidentes de malvertising notificados en 2024-2025

Por qué antivirus y ad blockers se quedan cortos

Un browser con un icono de escudo delante, el escudo con una línea diagonal que indica protección parcial

El antivirus clásico compara archivos contra firmas de malware conocido. El malvertising sirve código que no ha llegado a tocar el disco. El payload se ejecuta directamente en memoria, muchas veces desde un blob de WebAssembly, y al acabar se limpia solo. No hay nada que un escáner AV pueda ver en el sentido clásico. Para más detalle, mira Why Antivirus Fails.

Los ad blockers ayudan, pero no son la solución. Bloquean ad servers conocidos. Los atacantes que compran campañas a través de ad networks legítimos no están, por definición, en ninguna blocklist. Además, cada vez más sitios sirven los anuncios desde su propia infraestructura, algo a lo que los blockers no pueden ni acercarse sin romper la página.

Los navegadores se parchean cada mes, pero entre la disclosure y el rollout amplio pasan semanas. En ese hueco los exploit kits se actualizan. Si tu navegador se parcheó ayer pero los atacantes conocen el exploit desde hace cuatro semanas, te llevan cuatro semanas de ventaja.

Navegar sin ser el objetivo

Una ventana de browser dentro de una burbuja de línea discontinua, una segunda flecha discontinua viniendo desde fuera se detiene en el borde de la burbuja

La única defensa de verdad fiable contra el malvertising es separar el navegador del equipo donde están tus datos. Si tu navegador corre en un entorno aislado, el exploit sigue disparándose, pero golpea contra una VM desechable que desaparece cuando acaba la sesión. El payload no cae en tu máquina, cae en un contenedor que la plataforma reconstruye antes de pasárselo al siguiente usuario.

Para la navegación sensible, conviene que esta separación sea lo habitual. Investigar en sitios que no conoces, leer noticias en plena oleada de campañas activas, abrir un enlace de una newsletter, todos son momentos en los que un navegador aislado contiene el daño antes de que ocurra nada. Tu navegador de todos los días queda reservado para los sitios de confianza en los que ya estás dentro.

Llévate un escritorio entero a cualquier dispositivo

Prueba Browser.lol gratis y trabaja como en un PC desde el móvil.

Abrir mi navegador en la nube

Sin descargas • Funciona en cualquier dispositivo

Más de 250 000 profesionales lo usan
Escritorio completo
Listo al momento

Últimos artículos

Todos los artículos
Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador
Seguridad y privacidad

Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador

Borrar cookies no les hace nada. Cómo se generan los hashes de canvas, las cadenas renderer de WebGL y las firmas de AudioContext, y por qué incluso Tor filtra uno.

17.05.2026Leer más
Tabnabbing y clickjacking: los ataques de interfaz que nunca ves
Seguridad y privacidad

Tabnabbing y clickjacking: los ataques de interfaz que nunca ves

Algunos ataques del navegador no necesitan malware. Reescriben tus pestañas mientras no las miras o esconden un botón debajo de uno falso, y eres tú quien entrega las credenciales o las aprobaciones. Así funcionan estos trucos de UI.

19.03.2026Leer más
Wallet drainers Web3: cómo una sola firma vacía tu cripto
Seguridad y privacidad

Wallet drainers Web3: cómo una sola firma vacía tu cripto

Los wallet drainers no necesitan tu seed phrase. Te hacen firmar una transacción que entrega todo en un clic. Así funciona la estafa y así puedes firmar sin acabar limpio.

05.03.2026Leer más