Investigadores de ciberseguridad han documentado una campaña de fraude publicitario a gran escala que combina SEO poisoning, contenido generado con inteligencia artificial y abuso de notificaciones push del navegador. La operación, bautizada como Pushpaganda por el equipo Satori Threat Intelligence and Research de HUMAN, explota la confianza en Google Discover para distribuir noticias falsas, scareware y estafas financieras dirigidas principalmente a usuarios de Android y del navegador Google Chrome.
Fraude publicitario masivo contra usuarios de Android y Chrome
De acuerdo con HUMAN, Pushpaganda se centra en manipular los feeds personalizados de contenido de dispositivos Android y de Chrome, utilizando técnicas de posicionamiento para que sus sitios aparezcan como recomendaciones legítimas. En el punto álgido de la campaña se registraron aproximadamente 240 millones de peticiones de puja (bid requests) en tan solo siete días, distribuidas entre 113 dominios controlados por los atacantes en el ecosistema de publicidad programática.
La actividad se detectó inicialmente con mayor intensidad en India, pero posteriormente se extendió a Estados Unidos, Australia, Canadá, Sudáfrica y Reino Unido. El vector clave es el abuso del mecanismo de recomendación de Google Discover, que los operadores de Pushpaganda convierten en un canal para difundir scareware, deepfakes y campañas de inversión o fraude financiero presentadas como contenido periodístico legítimo.
Cómo funciona Pushpaganda: del SEO poisoning al scareware
El núcleo técnico de la operación es el SEO poisoning, es decir, la manipulación de algoritmos de búsqueda y recomendación para posicionar contenido malicioso. Los atacantes generan artículos falsos mediante IA generativa, cuidadosamente optimizados con palabras clave y titulares sensacionalistas para maximizar su visibilidad en Google Discover y en resultados de búsqueda relacionados con noticias de actualidad o temas financieros.
Cuando el usuario accede a una de estas páginas, el sitio despliega de forma insistente un cuadro de diálogo solicitando activar las notificaciones push del navegador. Aunque técnicamente se trata de una función estándar, en este caso se reutiliza como canal persistente para el envío de contenido fraudulento. Una vez otorgado el permiso, la víctima comienza a recibir notificaciones con mensajes amenazantes o extremadamente urgentes, que van desde supuestas demandas legales hasta alertas críticas del sistema.
Al hacer clic en estas notificaciones, el usuario es redirigido a otros dominios bajo control de los operadores de Pushpaganda, donde se cargan anuncios y contenidos de malvertising. Cada visita y clic desde dispositivos reales genera ingresos publicitarios ilícitos, a la vez que se dificulta la detección por parte de sistemas antifraude, que suelen centrarse en patrones de tráfico completamente automatizado y no en flujos “orgánicos” originados por personas reales sometidas a ingeniería social.
Abuso de notificaciones push: una técnica que evoluciona
El uso fraudulento de las notificaciones push del navegador no es nuevo, pero sí está evolucionando rápidamente. En 2025, especialistas de Infoblox describieron la actividad del actor Vane Viper, que explotaba de forma sistemática este mecanismo para campañas agresivas de publicidad y para ataques de ingeniería social del tipo ClickFix, orientados a forzar interacciones del usuario bajo presión.
Según HUMAN, las notificaciones push generan una sensación de urgencia y legitimidad que muchos usuarios no cuestionan. Al recibir un aviso intrusivo, el comportamiento habitual es “hacer clic para que desaparezca” o para “obtener más información”, lo que convierte este canal en especialmente atractivo para operadores de malware y ad fraud. Desde la perspectiva defensiva, este patrón refuerza la necesidad de educación del usuario y de políticas corporativas claras sobre la concesión de permisos de notificación.
Low5 y BADBOX 2.0: infraestructura compartida para lavar tráfico publicitario
El descubrimiento de Pushpaganda se produce pocas semanas después de que HUMAN hiciera pública otra gran ecosistema de fraude publicitario, denominado Low5. Esta operación incluía más de 3 000 dominios y 63 aplicaciones Android, y se considera uno de los mayores mercados de “lavado” de tráfico publicitario fraudulentamente generado detectados hasta la fecha.
En su momento de máxima actividad, Low5 llegó a generar hasta 2 000 millones de bid requests diarios, afectando a unos 40 millones de dispositivos en todo el mundo. Las aplicaciones móviles asociadas contenían código que forzaba al dispositivo a visitar de forma automática determinados dominios y a interactuar con anuncios mostrados en ellos. Estos dominios funcionaban como cashout sites o ghost sites: sitios sin audiencia real, diseñados únicamente para canalizar tráfico artificial y convertirlo en ingresos aparentamente legítimos. Parte de esta infraestructura también se ha vinculado a campañas más complejas como BADBOX 2.0. Aunque las apps maliciosas fueron eliminadas de Google Play, los dominios siguen siendo un activo reutilizable para otros actores.
Una capa de monetización que sobrevive al cierre de las campañas
Los análisis de HUMAN indican que Low5 empleaba una capa unificada de monetización que consolidaba más de 3 000 dominios bajo un mismo modelo de negocio. Esta arquitectura permite que múltiples grupos delictivos se “enchufen” a la misma infraestructura de lavado de tráfico publicitario, incrementando la resiliencia de la amenaza, dificultando la atribución y acelerando el lanzamiento de nuevas campañas tras el bloqueo de las anteriores.
Incluso si una campaña concreta o una familia de aplicaciones se interrumpe, los dominios de cashout pueden ser rápidamente reaprovechados. Por ello, los expertos recomiendan a plataformas, ad exchanges, DSP y SSP implantar controles de seguridad pre-bid y monitorización continua de dominios sospechosos antes de permitir su participación en subastas de anuncios, complementando así los enfoques reactivos tradicionales basados únicamente en listas negras posteriores al incidente.
Para reducir el impacto de campañas como Pushpaganda y Low5, los usuarios y las organizaciones deberían cuestionar cualquier solicitud de activación de notificaciones push, revisar periódicamente los sitios autorizados en el navegador, mantener Android y Chrome actualizados y desplegar soluciones de protección frente a malvertising. Por su parte, anunciantes y plataformas publicitarias necesitan reforzar los mecanismos de verificación de calidad de tráfico, integrar inteligencia de amenazas especializada y vigilar picos anómalos de actividad “orgánica”. Un enfoque integral y sostenido en el tiempo es clave para proteger tanto a los usuarios finales como a los presupuestos de marketing frente a la próxima generación de fraude publicitario digital.
