En un desarrollo preocupante para los usuarios de Internet, los cibercriminales han ideado una nueva técnica sofisticada para manipular los resultados de búsqueda de Google, envenenándolos efectivamente para mostrar información de contacto fraudulenta.
A diferencia de los esquemas de phishing tradicionales que se basan en sitios web falsos, este enfoque novedoso aprovecha los sitios web corporativos legítimos al tiempo que alteran sutilmente los números de teléfono mostrados, creando un vector de estafa casi indetectable para usuarios desprevenidos que buscan soporte de las principales marcas.
La estafa comienza cuando los actores de amenaza compran anuncios patrocinados en los resultados de búsqueda de Google, imitando los listados oficiales de compañías prominentes.
Cuando los usuarios hacen clic en estos enlaces patrocinados, se dirigen al sitio web legítimo real de la empresa en cuestión, no un clon fraudulento como se ve típicamente en los ataques de phishing.
Esta diferencia crucial hace que el esquema sea particularmente insidioso, ya que los usuarios no tienen una indicación visual de que nada está mal.
Lo que hace que este vector de ataque sea especialmente peligroso es la ilusión perfecta de legitimidad que crea.
Los usuarios observan la URL auténtica en la barra de direcciones de su navegador e interactúan con la interfaz y el contenido del sitio web genuino.
Sin embargo, sin que ellos lo supieran, los resultados de búsqueda se han manipulado para mostrar el número de teléfono del estafador en lugar de la información de contacto legítima de la compañía.
Investigadores de MalwareBytes identificado Esta amenaza emergente a principios de esta semana, señalando que cuando las víctimas llaman a estos números fraudulentos, se conectan involuntariamente con los estafadores que se hacen pasar por representantes oficiales de atención al cliente.
“Estas tácticas son notablemente efectivas debido a las múltiples capas de autenticidad que presentan a las posibles víctimas”, explicó Malwarebytes en su análisis publicado el 18 de junio de 2025.
El impacto de esta técnica se extiende más allá del fraude financiero inmediato.
Los ciberdelincuentes usan con frecuencia anuncios que se dirigen a un sitio malicioso para aprovechar nuestra confianza en los resultados de búsqueda patrocinados para marcas populares.
En su última estafa, encontramos a los estafadores de soporte técnico secuestrando los resultados de sitios legítimos.
Así es como funciona. 🧵 pic.twitter.com/tgvqtjifox
– MalwareBytes (@malwareBytes) 18 de junio de 2025
Al ganar la confianza de una víctima a través de la aparición de legitimidad, los estafadores pueden extraer información personal confidencial, detalles de pago o incluso convencer a los usuarios de otorgar acceso remoto a sus dispositivos, lo que puede conducir a la instalación de ransomware, robo de datos o compromiso de red persistente.
Mecanismo técnico de envenenamiento de resultados de búsqueda
La sofisticación técnica detrás de este ataque revela una planificación cuidadosa por parte de los actores de amenaza.
En lugar de emplear manipulación tradicional del navegador del lado del cliente o secuestro de DNS, los estafadores han identificado vulnerabilidades en cómo los resultados de búsqueda patrocinados se presentan y se muestran a los usuarios.
La cadena de ataque comienza con la creación de campañas de anuncios de Google cuidadosamente elaboradas que parecen idénticas a los anuncios de marca legítimos.
Cuando los usuarios hacen clic en estos enlaces patrocinados, de hecho se dirigen al sitio web auténtico a través de una serie de redireccionamientos que preservan el dominio legítimo en la barra de direcciones.
Sin embargo, durante este proceso de redirección, los estafadores implementan una manipulación de parámetros sutil pero efectiva que influye en cómo aparece la información de contacto dentro de los fragmentos de resultados de búsqueda.
Esta técnica explota la forma en que los motores de búsqueda caché y muestran datos estructurados, lo que permite a los atacantes anular selectivamente elementos específicos mientras mantienen la autenticidad general del sitio.
Este enfoque es particularmente efectivo cuando se dirige a servicios de alto valor como Netflix, plataformas bancarias y servicios de soporte técnico donde los usuarios comúnmente buscan números de servicio al cliente y pueden estar preparados para compartir información confidencial para resolver problemas de cuentas.
Al comprender los patrones de comportamiento del usuario y la explotación de la confianza implícita colocada tanto en los resultados de búsqueda de Google como en los sitios web corporativos legítimos, los estafadores han creado una técnica de ingeniería social notablemente efectiva que evita muchos protocolos tradicionales de capacitación de conciencia de seguridad.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
