La publicidad maliciosa aprovecha un mecanismo cotidiano, los anuncios online, para colarse en el navegador, redirigir a páginas falsas o empujar descargas peligrosas. Aquí explico qué es, cómo funciona en la práctica, en qué se diferencia de otras amenazas como el adware o el phishing y qué medidas sí reducen el riesgo con navegador, antivirus y hábitos concretos.
Lo esencial que debes saber antes de hacer clic
- El malvertising usa redes publicitarias legítimas para distribuir malware o redirigir a sitios trampa.
- Puede activarse al hacer clic o incluso al cargar la página, si el anuncio lleva código oculto o una redirección preparada.
- Los señuelos más comunes son falsas actualizaciones, avisos de seguridad, marcas clonadas y descargas “gratis”.
- La defensa más útil combina navegador actualizado, antivirus con protección web y escepticismo ante anuncios demasiado urgentes.
- En empresas, el riesgo crece si los equipos navegan sin control, sin políticas de instalación y sin filtrado de dominios.
Malvertising que es y por qué importa
El malvertising es publicidad maliciosa: anuncios que parecen normales, pero llevan código o redirecciones pensadas para engañar, infectar o robar datos. No necesita siempre un clic; a veces basta con cargar la página. Lo importante no es el banner en sí, sino la cadena que activa: anuncio, red publicitaria, redirección, página de destino, descarga o formulario falso.
Desde la óptica de malware y antivirus, esta técnica es especialmente incómoda porque mezcla ingeniería social con entrega de código. No es solo un problema de anuncios molestos; puede terminar en troyanos, stealer, ransomware, PUPs o robo de credenciales. Como recuerda Kaspersky, la publicidad online pasa por un ecosistema complejo de sitios, intercambios y servidores, y precisamente ahí está la superficie que aprovechan los atacantes.
En 2026 sigue funcionando porque se apoya en una costumbre muy simple: confiamos demasiado en lo que parece patrocinado, visible y “normal”. Entender esa cadena ayuda a ver por qué una campaña puede colarse sin levantar sospechas, y eso nos lleva a cómo se ejecuta en la práctica.
Cómo funciona una campaña de malvertising
Una campaña real suele combinar tres piezas: una creativa publicitaria, una red de distribución y una página final donde aparece el daño. El truco está en que todo se parece a publicidad normal hasta el último momento.
- Se inserta el anuncio en una red publicitaria legítima o en una cuenta comprometida.
- Se oculta el comportamiento malicioso con código ofuscado, redirecciones o scripts que esperan ciertas condiciones.
- Se activa el disparador, que puede ser un clic, una visita desde un navegador concreto o la carga de una página vulnerable.
- Se entrega la carga útil: una descarga engañosa, una extensión falsa, una página de soporte técnico fraudulenta o un exploit contra software desactualizado.
La parte más incómoda es que el usuario no siempre “hace algo mal”. A veces solo visita una web con publicidad comprometida. Por eso yo separo esta amenaza de la estafa clásica basada en que la víctima rellene un formulario: aquí el adtech y el navegador también forman parte de la superficie de ataque.
Cuando el objetivo es una infección silenciosa, los atacantes suelen buscar navegadores viejos, complementos vulnerables o equipos con permisos excesivos. Si el sistema está al día, la campaña pierde mucha eficacia; si no lo está, el anuncio se convierte en una puerta de entrada bastante rentable. La siguiente duda lógica es qué formas adopta ese señuelo.
Los señuelos más usados hoy
En la práctica, el malvertising no se presenta siempre igual. Estos son los formatos que más conviene reconocer:
| Señuelo | Qué ve el usuario | Qué intenta hacer | Por qué funciona |
|---|---|---|---|
| Falsa actualización | “Actualiza tu navegador”, “actualiza el reproductor” o “tu antivirus está obsoleto” | Instalar malware o un programa no deseado | Aprovecha el miedo a quedarse sin seguridad o sin compatibilidad |
| Imitación de marca | Anuncio de una tienda, app o servicio conocido | Llevar a una web clonada o a un instalador falso | El usuario baja la guardia al reconocer el logotipo o el nombre |
| Redirección oculta | La página parece legítima, pero salta a otra web | Mandar a una landing con descarga o phishing | El salto ocurre tan rápido que cuesta relacionarlo con el anuncio inicial |
| Oferta urgente | “Tu PC está infectado”, “tu cuenta será bloqueada” | Forzar clics impulsivos o llamadas a soporte falso | La prisa reduce la capacidad de comprobar la URL y el contexto |
En campañas recientes también se ve mucho abuso de anuncios de búsqueda y de suplantación de marca. El patrón es claro: el atacante compra visibilidad donde el usuario ya está buscando una solución, y eso vuelve más creíble el señuelo. En el fondo, no se trata solo de malware; se trata de manipular el momento exacto en que la persona toma la decisión.
Ese matiz ayuda a no confundir esta técnica con otras amenazas parecidas, y ahí es donde más errores veo.
En qué se diferencia de adware, phishing y SEO poisoning
Conviene separar conceptos, porque no todo anuncio molesto es malvertising y no toda redirección es phishing. Yo los distinguiría así:
| Técnica | Objetivo principal | Cómo entra | Relación con malvertising |
|---|---|---|---|
| Malvertising | Distribuir malware o redirigir a una trampa | Anuncios comprometidos o manipulados | Es la técnica central del artículo |
| Adware | Mostrar publicidad invasiva o no deseada | Software instalado en el equipo o navegador | Puede ser consecuencia, pero no es lo mismo |
| Phishing | Robar credenciales o datos | Correo, SMS, anuncio o web falsa | Puede llegar después de un anuncio malicioso |
| SEO poisoning | Posicionar webs fraudulentas en buscadores | Resultados orgánicos manipulados | Se parece en el engaño, pero no depende del anuncio |
La frontera más difusa suele estar entre malvertising y phishing, porque un anuncio puede terminar abriendo una web clonada. La diferencia útil es esta: en el malvertising el canal de entrada es la publicidad; en el phishing, el objetivo final es capturar datos mediante una apariencia legítima. Esa distinción importa porque las defensas no son idénticas. Y antes de hablar de defensa, merece la pena reconocer las señales que yo revisaría primero.
Señales de alerta que no conviene normalizar
No todos los anuncios maliciosos se ven agresivos. De hecho, los más peligrosos suelen parecer bastante normales. Aun así, hay señales que me hacen desconfiar de inmediato:
- El anuncio promete una solución demasiado rápida para un problema técnico serio, como “limpiar” el navegador en un clic.
- La URL de destino no coincide con la marca que se muestra o añade dominios extraños, guiones o subdominios largos.
- La web pide instalar una extensión, un APK o un supuesto parche para seguir.
- El navegador abre varias pestañas, cambia la ventana de forma inesperada o dispara descargas sin contexto.
- La página insiste en que tu dispositivo está infectado y te empuja a actuar “ahora mismo”.
- En móvil, aparece una notificación que te lleva a “verificar” permisos, instalar una app o permitir avisos del sitio.
Mi regla práctica es simple: cuando el mensaje juega con la urgencia y la instalación, casi nunca hay buena noticia detrás. Si además el dominio o la redirección no encaja, cierro la página sin negociar. A partir de aquí ya no estamos hablando solo de intuición, sino de medidas concretas para reducir la exposición.
Cómo protegerte con antivirus, navegador y hábitos básicos
La protección más eficaz no depende de una sola herramienta. Yo la pienso en capas, y en este caso las capas que más pesan son estas:
- Mantén navegador y sistema al día. Muchas campañas pierden fuerza cuando ya no encuentran vulnerabilidades viejas en el navegador, extensiones o componentes del sistema.
- Activa las protecciones del navegador. Chrome avisa sobre anuncios maliciosos y páginas peligrosas con Safe Browsing; en Windows, SmartScreen añade una capa muy útil frente a sitios y descargas sospechosas.
- Usa un antivirus con protección web. No me quedo solo con la detección de archivos; me interesa que bloquee dominios, descargas y redirecciones antes de que el archivo llegue al disco.
- Revisa permisos y extensiones. Una extensión innecesaria es una superficie de riesgo. Si no la usas, la elimino.
- Desconfía de instaladores, compresores y “optimizadores”. Los ataques a menudo intentan que seas tú quien confirme la instalación.
- Reduce el uso de cuentas con privilegios altos. En equipos personales y más aún en entornos de trabajo, navegar como administrador aumenta el impacto de un error.
Si aplicas estas capas con disciplina, la publicidad maliciosa pierde gran parte de su efectividad. Y eso conecta con el último punto: qué cambia cuando hablamos de una empresa o un medio que vive de la propia publicidad.
Qué debería hacer una empresa o un medio digital
En una empresa el problema no se limita al usuario final. Si gestionas un sitio, un blog o una red interna, el riesgo también entra por la cadena publicitaria y por los equipos de trabajo que navegan cada día.
- Audita la red publicitaria: no todas las fuentes de anuncios ofrecen el mismo control ni la misma transparencia.
- Aplica listas de exclusión y revisión manual cuando trabajes con campañas sensibles o con audiencia amplia.
- Supervisa redirecciones y dominios de destino. Si un anuncio lleva a un salto raro o a un dominio recién creado, hay que investigarlo.
- Usa EDR o protección de endpoints en puestos corporativos, porque el bloqueo en navegador no siempre basta.
- Limita instalaciones y privilegios. El típico instalador “necesario para continuar” no debería pasar sin control.
- Prepara respuesta rápida: si una campaña maliciosa llega a la audiencia, necesitas retirar creatividades, notificar al proveedor y revisar qué se ha servido realmente.
El punto delicado es que la publicidad digital mezcla negocio y seguridad. Si aprietas demasiado, rompes rendimiento; si aflojas demasiado, dejas entrar riesgo. Yo prefiero una postura intermedia: control razonable, monitorización continua y tolerancia cero con lo que no puedas verificar. Esa es la base de una defensa que aguanta el tipo y me lleva al cierre práctico.
La defensa eficaz empieza antes de que cargue el anuncio
Si ya has caído en un anuncio dudoso, no empieces por reiniciar a ciegas. Cierra la pestaña, desconecta temporalmente si hubo descarga, revisa extensiones y ejecuta un análisis completo con tu antivirus. Si llegaste a introducir credenciales o instalar algo, cambia la contraseña desde un dispositivo limpio y activa MFA.Yo me quedo con una idea simple: la publicidad maliciosa aprovecha confianza, velocidad y descuidos pequeños, así que la mejor defensa es ralentizar la decisión justo antes del clic. Si combinas navegador actualizado, protección web y disciplina con las instalaciones, reduces mucho el margen del atacante.
