Investigadores de ciberseguridad de la empresa Human han descubierto una sofisticada operación de fraude publicitario denominada «Scallywag», que generaba diariamente 1.4 mil millones de solicitudes publicitarias fraudulentas a través de una red de 407 dominios comprometidos. La operación utilizaba plugins especializados de WordPress para monetizar contenido pirata mediante un esquema de fraude publicitario altamente elaborado.

Anatomía del fraude: Plugins maliciosos y modelo FaaS

La operación Scallywag implementa un modelo de «Fraude como Servicio» (FaaS) mediante cuatro plugins críticos de WordPress: Soralink (2016), Yu Idea (2017), WPSafeLink (2020) y Droplink (2022). Estos componentes maliciosos permiten a los ciberdelincuentes monetizar contenido ilegal que normalmente sería rechazado por las redes publicitarias legítimas debido a consideraciones legales y reputacionales.

Infraestructura técnica y métodos de evasión

El sistema opera mediante una compleja cadena de redirecciones que expone a los usuarios a múltiples anuncios en páginas intermedias. Los sitios WordPress infectados emplean técnicas avanzadas de ofuscación, incluyendo sistemas CAPTCHA y temporizadores de retraso. Para evadir la detección, los sitios comprometidos se camuflan como blogs legítimos durante las verificaciones de seguridad.

Impacto y medidas de mitigación

Tras identificar los patrones de tráfico sospechosos, el equipo de Human colaboró con partners publicitarios para bloquear la infraestructura de Scallywag. A pesar de los intentos de los atacantes por eludir las restricciones mediante nuevos dominios y cadenas de redirección, las contramedidas implementadas resultaron efectivas, reduciendo el tráfico fraudulento prácticamente a cero.

Este incidente resalta la creciente sofisticación de las amenazas en el ecosistema publicitario digital y la importancia de mantener una postura de seguridad proactiva. Se recomienda a los administradores de sitios WordPress implementar un riguroso proceso de verificación para los plugins instalados, monitorear activamente los patrones de tráfico anómalos y mantener actualizadas todas las medidas de seguridad. La colaboración entre actores de la industria resulta fundamental para combatir efectivamente estas amenazas emergentes.