Ciberseguridad 21 de mayo de 2026 7 min de lectura

¿En qué amenaza la publicidad intrusiva a nuestra seguridad online?

Solemos separar las cosas: por un lado la publicidad, que es solo «molesta», y por otro los virus, que son «peligrosos». Pues lo cierto es que la frontera entre ambos casi ha desaparecido hoy con lo que se llama malvertising. Vamos a ver una amenaza muy real.

En resumen

El malvertising (publicidad maliciosa) permite a un atacante instalar un software espía o redirigirte a un sitio de phishing sin que hagas clic, simplemente porque el banner se ha cargado en la página. El sistema de subastas Real-Time Bidding deja a los editores incapaces de controlar lo que muestran. A esto se suman los dark patterns, esas interfaces diseñadas para manipularte. Bloquear la publicidad no es entonces un asunto de confort visual — es una medida de ciberseguridad.

Sección 01

Cuando el banner publicitario se vuelve un arma

No siempre hay que hacer clic en un enlace sospechoso de un email para que te hackeen. A veces, basta con visitar un sitio de noticias perfectamente legítimo. Las redes publicitarias son tan complejas y automatizadas — el sistema de subastas en tiempo real, o Real-Time Bidding — que los editores de sitios ya no controlan en absoluto lo que se muestra en sus páginas.

Atacantes compran espacios publicitarios de forma totalmente legal. Luego inyectan código malicioso en el recuadro del anuncio. Solo con cargar la página, tu navegador puede ejecutar ese código e instalar discretamente un software espía o redirigirte a una página de phishing muy bien imitada.

⚠ Drive-by download

Es el escenario en el que la infección se produce sin interacción del usuario. El anuncio se carga, explota un fallo del navegador (a menudo en la gestión de JavaScript o en los plugins) e instala el malware en segundo plano. Ningún clic, ninguna descarga que validar.

+42 % de aumento de las campañas de malvertising detectadas entre 2023 y 2025 según la ENISA (Agencia de la Unión Europea para la Ciberseguridad).

Sección 02

El Real-Time Bidding y lo incontrolable

El Real-Time Bidding (RTB) se ha convertido en el modo de compra publicitaria dominante. En concreto, cuando cargas una página:

Tu perfil (intereses supuestos, historial, geolocalización) se envía a una plataforma de subastas.
Cientos de anunciantes son notificados en paralelo y presentan una puja.
El que más paga gana — en unas decenas de milisegundos.
Su creatividad publicitaria se inyecta en el emplazamiento reservado en la página.

El problema es estructural: el editor del sitio nunca ve el anuncio antes de que se muestre. No tiene forma práctica de verificar si el código del banner es legítimo, si contiene un script de tracking abusivo o, peor aún, un exploit. Los controles de las plataformas de RTB existen pero siguen siendo ampliamente insuficientes frente al volumen — decenas de miles de millones de transacciones al día.

El Interactive Advertising Bureau (IAB) ha intentado normalizar estándares (ads.txt, sellers.json) para limitar los fraudes, pero el malvertising sigue siendo uno de los ángulos de ataque más rentables para los grupos cibercriminales.

Sección 03

La estafa por manipulación: los dark patterns

Más allá del hackeo técnico puro y duro, la publicidad intrusiva usa masivamente los «dark patterns». Son interfaces diseñadas para engañarte:

Falsas cruces de cierre: haces clic en la X para cerrar el anuncio, pero en realidad es un botón de clic que abre la red publicitaria.
Alertas alarmistas: «¡Tu PC está infectado, haz clic aquí!», «¡Has ganado un iPhone, reclámalo ahora!».
Falsos botones del sistema: banners que imitan las notificaciones de Windows o macOS para empujar a instalar un falso antivirus.
Confirm shaming: «No gracias, prefiero pagar más cara mi póliza» en lugar de un simple «No».
Roach motel: fácil suscribirse, casi imposible darse de baja.

Estas prácticas están ahora explícitamente reguladas por el Digital Services Act europeo. Las sanciones suben — pero la diferencia entre la sanción y el beneficio realizado sigue siendo ampliamente favorable a los anunciantes maliciosos.

Sección 04

Casos reales: quién ya ha sido afectado

El malvertising no es una amenaza teórica. Algunos ejemplos documentados en los últimos años:

The New York Times y la BBC difundieron sin saberlo banners con código de ransomware (2016, pero el patrón sigue vigente).
Forbes, MSN, AOL y varios grandes portales han sido contaminados por la campaña «AdGholas» que apuntaba específicamente a los navegadores no actualizados.
YouTube ha visto aparecer en varias ocasiones anuncios preroll que redirigían a sitios de phishing imitando a Google o Microsoft.
Sitios de noticias importantes difundieron en 2024 banners que explotaban un fallo zero-day en Chrome antes de que fuera corregido.

El punto común: ningún sitio malicioso. Ninguna descarga trampa. Solo un sitio legítimo, un banner trampa que pasa los controles, y un usuario cuyo navegador no estaba actualizado.

Sección 05

Cómo protegerse en la práctica

Luchar contra la publicidad con herramientas eficaces como Sheeldy no es solo una cuestión de confort visual — es una auténtica medida de higiene de ciberseguridad básica. Las acciones concretas, por orden de impacto:

1. Mantener el navegador y el sistema operativo actualizados

La gran mayoría de las campañas de malvertising explotan vulnerabilidades ya corregidas. Activa las actualizaciones automáticas. Es gratis y es la defensa más eficaz.

2. Instalar un bloqueador de publicidad

uBlock Origin en Firefox, Brave de forma nativa. No por confort, sino porque un banner que no se carga es un banner que no puede atacarte.

3. Desactivar los plugins inútiles

Flash, Java, lectores PDF antiguos integrados en el navegador. Esos componentes viejos son pasarelas clásicas para el drive-by download.

4. Cortar la recogida que alimenta la segmentación

Las campañas de malvertising funcionan por segmentación — atacan perfiles concretos. Cuanto más detallado sea tu perfil en los data brokers, más atractivo eres como objetivo. Eliminar tus datos en los brokers (lo que hace Sheeldy) reduce mecánicamente el riesgo de ser objetivo.

Preguntas frecuentes

¿Qué es el malvertising?

El malvertising (contracción de malicious advertising) designa la inyección de código malicioso en espacios publicitarios legítimos. El atacante compra un emplazamiento publicitario vía un sistema de subastas automatizado, mete un script que explota una vulnerabilidad del navegador, y cualquier visitante del sitio que cargue el anuncio puede infectarse — sin siquiera hacer clic.

¿Hay que hacer clic en un anuncio para ser infectado?

No. En el caso del malvertising por drive-by download, la simple carga del banner ejecuta el código malicioso. Ningún clic, ninguna validación es necesaria. Un internauta prudente que nunca hace clic en los anuncios puede aun así verse comprometido.

¿Qué es el Real-Time Bidding (RTB)?

Un sistema de subastas automatizado que decide en unos milisegundos qué publicidad se mostrará en la página que visitas. Tu perfil se subasta entre cientos de anunciantes, el que más paga gana, y su banner se inyecta. El editor del sitio no controla lo que se muestra.

¿Qué es un dark pattern?

Una interfaz diseñada para engañarte o manipularte: falsas cruces de cierre, alertas alarmistas, botones rojos amenazantes colocados donde esperabas un botón de validación neutro, opt-out escondido tras diez submenús. Las autoridades europeas (Digital Services Act) sancionan ahora explícitamente estas prácticas.

¿Cómo protegerse del malvertising?

Cuatro medidas combinadas: un navegador actualizado (los parches tapan los fallos explotados), un bloqueador de publicidad eficaz (uBlock Origin en Firefox, Brave), un antivirus activo con detección web, y la eliminación de tus datos en los data brokers para no ser objetivo.

Fuentes Informes de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) sobre malvertising y drive-by download · Trabajos de referencia de Harry Brignull sobre los dark patterns · Digital Services Act (DSA) de la Unión Europea · Documentación IAB sobre ads.txt y sellers.json.

En resumen

La publicidad intrusiva ya no es un mero tema de confort. Con el malvertising, el Real-Time Bidding y los dark patterns, se ha convertido en un vector de ataque de ciberseguridad de pleno derecho. Protegerse exige bloquear abajo (adblocker, navegador actualizado) y arriba (eliminación de los datos que alimentan la segmentación). Es exactamente la promesa de Sheeldy: cortar la cadena allí donde todavía es reversible.