Una significativa operación de fraude publicitario, denominada «Scallywag», generó en su punto álgido aproximadamente 1.400 millones de solicitudes de anuncios fraudulentos diariamente. Esta actividad se realizaba a través de complementos de WordPress diseñados para monetizar sitios web comprometidos.
Este esquema sofisticado, recientemente desarticulado por el equipo de Investigación e Inteligencia de Amenazas Satori de HUMAN, explotó la piratería digital mediante un conjunto de cuatro extensiones de WordPress. Estas extensiones redirigían a los usuarios a través de páginas intermediarias cargadas de publicidad antes de entregar el contenido pirateado prometido o las URL acortadas.
Los responsables de esta amenaza emplearon un conjunto de extensiones de WordPress, bajo el nombre de Scallywag, para redirigir a los usuarios desde servicios de acortamiento de URL o sitios de catálogos de contenido pirateado hacia uno o varios sitios intermediarios de monetización, donde se mostraba una secuencia de anuncios, para luego reconducirlos al contenido pirateado o a la URL acortada original.
Los cuatro módulos de WordPress identificados en la operación incluyen Soralink (lanzado en 2016), Yu Idea (2017), WPSafeLink (2020) y Droplink (2022), que juntos formaron la base de este ecosistema de fraude como servicio. Scallywag está particularmente preocupado por su accesibilidad y promoción de base.
«Estas extensiones reducen la barrera de entrada para un posible actor de amenazas que quiere monetizar contenido que generalmente no sería monetizable con publicidad», afirma el informe.
Numerosos tutoriales de YouTube instruyen a los aspirantes a piratas digitales sobre cómo configurar sus propios esquemas utilizando estos complementos.
La operación empleó sofisticadas técnicas de encubrimiento de dominios, que están clasificadas como representaciones falsas en la taxonomía de tráfico no válido (IVT) de la Interactive Advertising Bureau.
Cuando las redes publicitarias o los anunciantes visitaban directamente los sitios de retiro intermediarios, aparecían como blogs inocentes con ubicaciones de anuncios normales.
Sin embargo, cuando los usuarios llegaban a través de portales de piratería, esos mismos sitios se transformaban en páginas saturadas de anuncios con contenido mínimo.
El análisis técnico reveló que la mayoría de los sitios de Scallywag lograron este comportamiento de encubrimiento a través de enlaces profundos, donde la página del catálogo de piratería incluye enlaces a formularios web que envían y redirigen automáticamente a los usuarios a versiones de las páginas desenmascaradas.
Los sitios de retiro de efectivo de la operación emplearon múltiples tácticas para maximizar las impresiones de anuncios:
- Los temporizadores obligan a los usuarios a esperar antes de continuar.
- CAPTCHA que requieren interacción del usuario.
- Se requiere desplazarse por páginas enteras.
- Múltiples páginas intermedias con mucha carga publicitaria.
Los operadores de Scallywag implementaron redirectores abiertos que «desinfectaban» la información de referencia para ofuscar aún más sus actividades. Estos redireccionadores hacían que el tráfico pareciera provenir de fuentes legítimas, como plataformas de redes sociales o motores de búsqueda, en lugar de sitios de piratería.
En su apogeo, la operación abarcó 407 dominios de retiro de efectivo, pero experimentó una dramática disminución del 95% en el tráfico luego de la intervención de HUMAN.
La empresa de seguridad implementó medidas para señalar el tráfico de Scallywag en su Plataforma de Defensa Humana, cortando los flujos de ingresos de la operación.
«Los modelos de amenazas de encubrimiento de dominios siguen siendo una amenaza generalizada y persistente en el panorama publicitario y se ven exacerbados por esquemas fáciles de configurar como Scallywag», señalaron los investigadores.
A pesar de la reciente disrupción significativa, los responsables de la amenaza han manifestado capacidad de adaptación mediante la rotación de dominios y la exploración de métodos de monetización alternativos.
Los clientes que colaboran con HUMAN para la protección contra el fraude publicitario mantienen su resguardo, mientras la empresa continúa monitorizando y neutralizando las nuevas adaptaciones de este esquema fraudulento.
La piratería digital persiste como un desafío constante para el ecosistema publicitario, y el Interactive Advertising Bureau estima pérdidas anuales de miles de millones de dólares debido a este tipo de operaciones fraudulentas.
