Una campaña de publicidad maliciosa detectada por Sophos usa anuncios falsos para instalar malware que roba contraseñas y datos personales en todo el mundo.
Publicidad digital como puerta de entrada al malware
La publicidad en buscadores se ha convertido en uno de los vectores de ataque más eficaces para el cibercrimen. Investigadores de Sophos identificaron una campaña activa de malvertising —publicidad maliciosa— que utiliza anuncios aparentemente legítimos para distribuir software diseñado para robar información sensible de los usuarios.
La operación, bautizada como TamperedChef, aprovecha la confianza que muchas personas depositan en los primeros resultados patrocinados de los buscadores. Al hacer clic en estos anuncios, las víctimas son dirigidas a sitios que simulan ofrecer programas comunes, pero que en realidad esconden código malicioso.
Software legítimo… sólo en apariencia
El gancho principal de la campaña es un supuesto editor de PDF promocionado como una herramienta funcional y gratuita. El instalador se presenta con una interfaz profesional, términos de uso y certificados de firma de código, lo que reduce las sospechas iniciales.
Sin embargo, tras la instalación, el programa ejecuta en segundo plano un infostealer: un tipo de malware especializado en recolectar contraseñas, cookies de sesión, datos de autocompletado del navegador e incluso información financiera almacenada en el equipo.
💻 Visita YoUsuarioFinal 📱
🇲🇽 Conoce más en SuperMexicanos 🎬
Robo silencioso y bien planeado
Uno de los elementos más preocupantes de TamperedChef es su estrategia de evasión. El malware no actúa de inmediato. Puede permanecer inactivo durante semanas antes de comenzar la extracción de datos, un lapso que coincide con la duración promedio de campañas de anuncios pagados.
Esta espera reduce la probabilidad de que el usuario relacione el robo de información con la instalación inicial del software y dificulta la detección por sistemas de seguridad tradicionales.
Una operación con alcance global
De acuerdo con la telemetría analizada por Sophos, la campaña ha comprometido más de 100 sistemas, principalmente en entornos corporativos. Los casos confirmados se concentran en Europa, aunque los investigadores identificaron actividad en al menos 19 países, lo que confirma el carácter internacional de la operación.
Los especialistas vinculan TamperedChef con una infraestructura mayor conocida como EvilAI, activa desde mediados de 2025 y asociada con múltiples dominios fraudulentos y técnicas de distribución de malware.
Un riesgo cotidiano para usuarios y empresas
Este tipo de ataques subraya un problema creciente: la delgada línea entre contenido legítimo y malicioso en la publicidad digital. Para usuarios comunes, el riesgo está en la pérdida de cuentas personales, correos y redes sociales. Para empresas, una sola descarga puede abrir la puerta al robo de credenciales corporativas y accesos internos.
El caso también evidencia cómo los atacantes se adaptan a los hábitos digitales actuales, explotando la urgencia, la confianza en las marcas visibles y la búsqueda de soluciones rápidas en línea.