Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

extorsion google ads

Tener presencia digital en pleno siglo XXI ha pasado de ser algo recomendable a obligatorio prácticamente para cualquier tipo de negocio, incluso los enfocados puramente al mercado local:

Ya conté en su día cómo un servidor, cuando vivía en Getafe, tardó año y medio en enterarse que en la misma calle donde vivía había una barbería que además de ser más barata y contar con un equipo mucho más preparado (venían de dos generaciones de barberos), estaba a apenas un par de minutos de mi casa, ahorrándome un cuarto de hora de ida y de vuelta frente a la que iba hasta el momento simplemente porque a la que iba había hecho los deberes a nivel de presencia digital (tenían un MyBusiness bien optimizado para SEO Local), mientras que la tenía debajo de casa ni aparecía marcada como barbería.

Por tanto, en esa primera fase de transformación digital, el primer paso es invertir en tener tener nuestra propia página web, y dependiendo del sector, en tener o no presencia en redes sociales.

Pero pronto nos daremos en cuenta que simplemente con estar no es suficiente, ya que además hay que saber estar. Que los potenciales clientes lleguen a conocer nuestra propuesta (un buen escaparate en una calle por la que pase mucha gente). Y para ello tenemos tanto el SEO (posicionamiento orgánico en buscadores) como el SEM (posicionamiento de pago).

  • SEO: Con el primero intentamos arañar unas cuantas posiciones a la competencia para aparecer primeros en las búsquedas que nuestros potenciales clientes/usuarios/audiencia hagan.
  • SEM: Con el segundo, nos posicionamos artificialmente primeros en dichas búsquedas y para el perfil específico de cliente/usuario/audiencia que buscamos en base a pagar ya no solo al profesional que nos lleva las cuentas, sino también a la plataforma publicitaria.

Son por tanto dos estrategias que van de la mano. Con el SEM vemos resultados a corto/medio plazo, y con el SEO a medio/largo plazo, atacando así los dos pilares de la visibilidad de negocios en derroteros digitales.

Y puesto que Google es hoy por hoy y en occidente el ecosistema informativo prácticamente monopolístico (cerca del 96% de las búsquedas se realizan en Google, cerca del 70% de usuarios utilizan Chrome como navegador por defecto…), es normal que tanto Google Adsense como Google Ads se hayan posicionado como dos de las herramientas más utilizadas por los negocios.

  • Con Google Adsense, los medios de comunicación pueden monetizar su contenido mostrando publicidad dentro de su propia página. Un servidor de hecho lo utiliza por estos lares, buscando como siempre el equilibrio perfecto entre ganar más dinero y que la publicidad no resulte molesta (no utilizo popups, ni intersticiales, mostrando únicamente publicidad de tipo in-page, la menos molesta a mi modo de entender de todas las que ofrece Google).
  • Con Google Ads, cualquier negocio puede dar a conocer sus productos o servicios. De hecho, de nuevo, yo mismo lo utilizo para dar a conocer mis servicios de consultoría de presencia y reputación online, así como el curso de seguridad y privacidad digital. Y mi equipo gestiona más de una decena de cuentas de clientes.

DONDE HAY NEGOCIO, LO HAY TAMBIÉN PARA LOS CIBERCRIMINALES

Como decía, los malos son conscientes por tanto de que la mayor parte de negocios ya utilizan estas plataformas, y como no, han buscado la manera de sacar tajada.

Ya vimos en otras ocasiones cómo se están utilizando plataformas publicitarias como la de Facebook Ads para viralizar campañas de phishing muy efectivas. Incluso como gancho para blanquear capitales. Es más, estoy preparando estos días un artículo sobre cómo lo están utilizando para engañar a usuarios a que se descarguen aplicaciones que nada tienen que ver con lo mostrado en la publicidad.

Esta vez vamos a ver una tipología de ataque que tiene como objetivo extorsionar a los administradores del sitio.

Básicamente se trata de una serie de campañas de phishing vía email en las que se amenaza los propietarios de sitios web con una avalancha de tráfico de bots que clicarán en sus anuncios, haciendo que o bien (en el caso de Google Ads) el negocio pague muchísimo más por tráfico falso, o bien (en el caso de Adsense) Google acabe baneando la cuenta, lo que se traduce en la pérdida absoluta de capacidad de monetizar el negocio por esta vía.

La idea de los criminales es hacer click en los banners de Adsense o de Google Ads de un sitio web hasta que Google llegue a cancelar la cuenta por comportamiento sospechoso y clicks inválidos. Si el webmaster no paga a dichos criminales, el bot seguirá haciendo clic en los banners.

Tanto si estamos en uno u otro caso, la conclusión es que el negocio pierde poder adquisitivo (o consigue menos clientes, o deja de recibir beneficios por Adsense).

El ataque en el caso de Adsense se basa en que para prevenir precisamente el fraude, Google tiene una protección antifraude automatizada que identifica el tráfico que parece que viene dado por «herramientas de clic o fuentes de tráfico automatizado», así como cualquier intento que realicen los editores de anuncios de forma artificial para inflar impresiones haciendo clic en sus propios anuncios (esto era algo que hace cuando nació Adsense y empezaron a surgir los blogs en la red algunos aprovechamos, creando redes de blogs entre amigos y generando tráfico artificial diario).

Según las políticas de Google, tales acciones podrían acabar en la restricción de un anuncio hasta que se resuelva el asunto, lo que se traduce a nivel de negocio en menos o ningún clic en el anuncio, y por tanto, menos o ningún ingreso para el editor.

Los cibercriminales, como informan en The Verge (EN), están enviando emails indiscriminadamente a administradores de sites con un contenido parecido a este:

[…] Muy pronto, el aviso de advertencia aparecerá en su cuenta de AdSense.
Esto sucederá debido al hecho de que estamos a punto de inundar su sitio con una gran cantidad de tráfico web generado por bots directos con una tasa de rebote del 100% y miles de IPs en rotación, una pesadilla para todos los editores de AdSense.
Además, ajustaremos nuestros sofisticados bots para abrir, en un ciclo interminable con diferente duración de tiempo, cada banner de AdSense que se ejecute en su sitio.

¿QUÉ PODEMOS HACER PARA EVITAR SER VÍCTIMAS DE ESTE TIPO DE ATAQUES?

Por supuesto, todo esto lo podemos «evitar» pagando X dinero en bitcoin/ethereum o mediante alguna transferencia por medios de dudosa seguridad, como es el caso de wester union.

Pagas, y puesto que le estás dando dinero a un cibercriminal, puede que en efecto no realicen el ataque… o te sigan extorsionando para que pagues más.

Es más, en muchas ocasiones la alerta no deja de ser una amenaza que nunca se va a ejecutar. A los cibercriminales les sale más rentable mandar masivamente este tipo de correos a los negocios por ver si alguno pica que realmente ponerse a ejecutar uno a uno lo que han dicho si no pagamos.

Y luego está el hecho de que Google tampoco es tonto, y como decía anteriormente, tiene un sistema antifraude que también les permite discriminar entre clics reales y falsos.

Puede que incluso aunque nos realicen de verdad el ataque, este no tenga impacto real en nuestra cartera ya que Google ha sido capaz de identificar los clics fraudulentos que presumiblemente se repiten entre otros clientes suyos que nada tienen que ver con nosotros y directamente no los tenga en cuenta.

Sea como fuere, si somos víctimas de este tipo de ataques lo primero de todo es denunciarlos ante las fuerzas del orden de nuestro país. En España:

Y acto y seguido podemos ponernos en contacto con Google (ES) para informar cualquier clic de anuncio no válido o acudir a su centro de ayuda en este otro enlace (ES) si creemos que estamos siendo víctimas de este tipo de extorsiones.

Comparte esto entre tus contactos que tengan un negocio con exposición digital para evitar males mayores…

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros