malvertisiong adblock


La industria del cibercrimen suele ser, lamentablemente, la primera que mueve ficha, aprovechándose de las tendencias de cada mercado. Y en este caso parece que no va a ser diferente.

Con cerca de un 48% de estadounidenses utilizando adblockers, la publicidad digital se encuentra en un momento decisivo, y empezamos a observar efectos secundarios de este cambio de paradigma, como el que quería comentarle en este artículo.

Estado del arte de la publicidad digital a finales del 2015

Una guerra que lleva años presente en Internet (el surgimiento de los popups a principios de siglo y su bloqueo por defecto por parte de los propios navegadores fue uno de los primeros movimientos), pero que ha acabado por explotar recientemente, precisamente por la unión de dos elementos críticos:

  • Por un lado, el abuso sistematizado de scripts de monitorización: Piezas de código encargadas de realizar tareas de profiling y seguimiento de todos los usuarios de internet, supeditadas a una industria publicitaria cada vez más dependiente de los adservers. Ya no hay casi banners publicitarios como tal (es decir, una imagen con un enlace). Lo que encontramos en la mayoría de webs son auténticos bastiones de código que identifican al usuario y le muestran publicidad teóricamente dirigida a su persona, revendiendo esos datos entre terceros.
  • Por otro, el gasto energético, visual y sobre todo, de ancho de banda, que ello conlleva: Porque cada vez que nos conectamos a una web con publicidad, esta debe realizar una o varias conexiones a diferentes servidores para entregar primero la información del usuario, y segundo mostrar la publicidad específica. Se ha abusado cada vez más de formatos invasivos, que deben ser cerrados para continuar consumiendo el contenido, algo molesto en entornos de escritorio, pero sobre todo, en móviles, donde tanto el espacio disponible, como el ancho de banda y la batería no son muy elevados que digamos…

Así, veíamos cómo Apple, cuyo negocio no depende de la publicidad, levantaba un nuevo frente permitiendo la instalación de bloqueadores de contenido (de publicidad) en Safari para iOS (una de las cuotas de mercado más interesantes para los publicistas), y este movimiento iba a acompañado de varias propuestas, cada una concerniente a un gigante de internet barriendo para casa, sobre cómo debería ser el consumo de información del futuro.

Tanto Apple (ES) como Facebook (ES), ofreciendo plataformas de consumo de información, asegurando con ello un uso responsable de la publicidad (que pasará por sus manos, claro está) y una inmediatez en este consumo (cargas prácticamente instantáneas, sin salir de su propia plataforma) a cambio de una pérdida de control considerable (los gestores del contenido serán las plataformas, y no las webs donde anteriormente el contenido estaba albergado).

Google mueve ficha para proteger su negocio (las búsquedas en internet), y desarrolla una futura estandarización del lenguaje web específicamente diseñado para ofrecer más o menos lo mismo de antes (publicidad mucho menos invasiva y contenido que carga lo más rápido posible en móviles) desde la propia web. Una versión limpia de la página, con fuertes restricciones a las piezas de código que pueden utilizarse, pero sin solucionar el problema de privacidad (puesto que esto iría en contra de su negocio).

Y Mozilla bloqueando por defecto todos los scripts de tracking en su navegador Firefox.


Todo bajo el prisma de ese porcentaje cada vez mayor de usuarios de internet que apuestan por el uso de bloqueadores.

El discurso es tan sencillo como afortunado:

Cuesta cada vez menos molestar al usuario, que espera realizar una búsqueda e informarse lo antes posible. Y quien más quien menos, tiene en sus círculos un padre, un amigo, un hermano, un tío, que en algún momento le recomienda instalar un bloqueador de contenido.

Una vez este se instala, es muy raro que se vuelva a desinstalar. Como también lo es que el usuario, manualmente, deshabilite el bloqueador en determinadas páginas, pagando por pecadores tanto los que han motivado esa instalación, como aquellos que sí hacían uso de publicidad no invasiva como forma de mantener a flote su negocio.

Un escenario cada vez menos halagüeño para el malvertising

Con cuotas de mercado cada vez menores (ya hablamos de prácticamente un 50% de usuarios en algunos países desarrollados), la publicidad tal y como la conocemos está claro que tiene los días contados. O bien tirará hacia escenarios más centralizados (esperemos que no sea así), o bien mantendrá parte de su hegemonía siempre y cuando retroceda hacia los estándares que dirigieron la web hace unos años (menos hipersegementación, menos profiling, más optimización en gasto de recursos).

Sea como fuere, no parece que haya un futuro prometedor, habida cuenta de que cada vez está peor pagada, y de que los administradores de servicios parecen cada vez más interesados en alternativas mejor valoradas tanto para unos (publishers) como para otros (usuarios).

Un caldo de cultivo perfecto para que ya empecemos a observar una bajada en las campañas de malvertising.


Si ese tracking e hipersegmentación de los adservers está cada vez menos llegando a las víctimas, parece oportuno ir paulatinamente abandonando este vector de ataque en favor de otros que siguen siendo tan efectivos como siempre, como es el phishing y el malware, en especial esas cepas dirigidas a secuestrar nuestros dispositivos (ransomware).

Y esto conllevará un interés aún mayor en exploits y 0days que afecten al software, en el aprovechamiento de noticias impactantes (como la que hemos vivido recientemente con el atentado en Francia) para engañar a los usuarios, y con un escenario de consumerización (dispositivos de ámbito personal utilizados por los trabajadores de una compañía) que se presta cada vez más a ataques dirigidos.

Son algunas de las tendencias definidas por U-tad, el Centro Universitario de Tecnología y Arte Digital, en su informe “Estado de la Ciberseguridad en 2015” (ES).

Un sector que seguirá creciendo, pese a que priori cada vez tenemos sistemas más seguros y privados. Pese a que se está luchando cada vez con mayor acierto contra la industria del crimen digital. Pese a que la seguridad se haya posicionado ya no solo como una ventaja competitiva, sino también como una necesidad crítica para el negocio.