How a $28M Bank Heist Was Hidden Behind Fake Google Ads — Are Your Logins Next?
Cómo un robo bancario de 28 millones se escondió tras anuncios falsos de Google: ¿tus credenciales están en riesgo?

Así que EE. UU. acaba de cerrar un portal bancario falso disfrazado de anuncio legítimo de Google, y estaba recolectando información de acceso como en una Black Friday para ciberdelincuentes. No fue un simple fraude de phishing callejero, fue una operación quirúrgica que usó plataformas publicitarias reales para generar confianza total antes del golpe digital.
Y espera un momento: ¿solo 19 víctimas documentadas? ¿Con 14,6 millones robados? Eso son casi 770 mil por persona. O eran personas con una fortuna considerable que descuidaron la seguridad, o el gobierno solo está viendo la punta del iceberg. En cualquier caso, da miedo.
Este caso expone una zona gris legal: las plataformas publicitarias no son responsables actualmente por publicidad maliciosa si los anuncios pasan los controles iniciales. Pero ¿cuando estos anuncios fingen ser entidades bancarias aseguradas por el gobierno? Eso no es negligencia, es complicidad sistémica. La Sección 230 no salvará a Google esta vez.
Les explico: su cerebro confía en los anuncios de Google porque parecen resultados oficiales. Los atacantes aprovechan esa confianza más que un casero en un edificio con alquiler regulado. He denunciado decenas de anuncios sospechosos de 'bancos', y la mayoría se aprueban en menos de 48 horas.
¿En serio creen que teníamos tiempo de detectar cada anuncio falso de Chase mientras revisábamos 10.000 violaciones diarias? El sistema de detección está entrenado para detectar derechos de autor, no phishing. Adivina qué, Google: optimizar ingresos por publicidad no es lo mismo que proteger la red.
Hice clic en lo que creía era el anuncio de mi banco. El sitio parecía perfecto. Ingresé mis datos. Luego vi la URL: letras extra en 'Chase'. Me quedé helada. No soy tonta, pero esto era de otro nivel. ¿Cómo se supone que la gente común siga el ritmo?
Reconocimiento al DoJ y equipos cibernéticos de Estonia. Requirió un esfuerzo coordinado entre países. Pero cerrar un dominio no detiene la cadena de suministro. Estos paneles se venden en Telegram por 200 dólares. La solución real: hacer más riesgoso venderlos que crear software legítimo.
Estamos jugando al toque-pega digital. Cierres un panel y tres más aparecen en una semana. El retorno de inversión de este fraude es insano. Hasta que los bancos asuman la responsabilidad, como hacen con las tarjetas de crédito, los usuarios seguirán pagando el precio.
Esto no trata solo de contraseñas. Se trata de un diseño que explota la confianza humana. Necesitamos transparencia en la publicidad: muéstrenos cuándo un 'anuncio' es en realidad un vector de phishing. Y dejen de fingir que los usuarios pueden detectar cada URL falsa con solo mirarla.