Investigadores de ciberseguridad han desenmascarado un novedoso esquema de fraude publicitario que aprovecha técnicas de envenenamiento en motores de búsqueda (SEO) y contenido generado por inteligencia artificial (IA) para insertar noticias engañosas en el feed de Google Discover. El objetivo es engañar a los usuarios para que habiliten notificaciones push persistentes que derivan en scareware y estafas financieras.
La campaña, denominada Pushpaganda por el equipo de Investigación e Inteligencia de Amenazas Satori de HUMAN, se dirige a los feeds de contenido personalizado de usuarios de Android y Chrome. Según los investigadores Louisa Abel, Vikas Parthasarathy, João Santos y Adam Sell, la operación genera tráfico orgánico inválido desde dispositivos móviles reales al engañar a los usuarios para que habiliten notificaciones que muestran mensajes alarmantes.
En su punto máximo, se registraron aproximadamente 240 millones de solicitudes de oferta asociadas a 113 dominios de la campaña en un período de siete días. Aunque inicialmente se observó en India, la amenaza se ha expandido a otras regiones como EE.UU., Australia, Canadá, Sudáfrica y Reino Unido.
Los hallazgos demuestran cómo los actores de amenazas abusan de la IA para secuestrar superficies de descubrimiento confiables y convertirlas en vehículos para scareware, deepfakes y fraude financiero, según Gavin Reid, director de seguridad de la información en HUMAN. Google ya implementó una solución para abordar el problema de spam.
El esquema se basa en atraer a usuarios desprevenidos a través de Google Discover para que visiten páginas con noticias engañosas llenas de contenido generado por IA. Una vez que el usuario accede a uno de los dominios controlados, se le obliga a habilitar notificaciones push que entregan amenazas legales falsas y estafas. Al hacer clic, las notificaciones redirigen a sitios adicionales operados por los atacantes, generando tráfico orgánico hacia anuncios incrustados y permitiendo ingresos ilícitos.
No es la primera vez que se utilizan notificaciones push para redirigir a sitios sospechosos. En septiembre de 2025, Infoblox reveló la actividad del actor de amenazas Vane Viper, que abusaba sistemáticamente de las notificaciones push para servir anuncios y facilitar campañas de ingeniería social estilo ClickFix. Lindsay Kaye, vicepresidenta de inteligencia de amenazas en HUMAN Security, señaló que las amenazas basadas en malware que involucran notificaciones push no son nuevas, especialmente por la urgencia que crean, lo que lleva a los usuarios a hacer clic rápidamente.
Mantenemos la gran mayoría del spam fuera de Discover a través de sistemas robustos de lucha contra el spam y políticas contra formas emergentes de contenido manipulador de baja calidad. Antes de conocer este informe, lanzamos una solución para el problema de spam en cuestión, manteniendo nuestro alto estándar de contenido de calidad en Discover.
Google también afirmó contar con políticas robustas contra spam y sistemas para combatir prácticas abusivas que muestran contenido no original y de baja calidad en Search y Discover, y que implementa actualizaciones algorítmicas periódicas para marcar contenido que viola las políticas y busca manipular los rankings de búsqueda y noticias.
Según su guía sobre contenido generado por IA en Search, cualquier uso de IA para generar contenido con el fin principal de manipular rankings de búsqueda está contra sus políticas de spam. Los casos de abuso de contenido escalado incluyen el uso de herramientas de IA generativa para producir páginas sin valor para los usuarios, el scraping de feeds o resultados de búsqueda, y la creación de múltiples sitios para ocultar la naturaleza escalada del contenido.
La revelación se produce poco más de un mes después de que HUMAN identificara más de 3.000 dominios y 63 aplicaciones Android que constituían uno de los mayores mercados de lavado de fraude publicitario jamás descubierto. Denominada Low5 por su uso de sitios de juegos y noticias basados en HTML5, la operación monetiza los dominios como sitios de cobro para esquemas de fraude sofisticados, incluido BADBOX 2.0. La operación alcanzó un pico de aproximadamente 2.000 millones de solicitudes de oferta al día y pudo haber operado en hasta 40 millones de dispositivos en todo el mundo.
Los sitios de cobro, también llamados sitios fantasma, se utilizan para realizar fraude basado en contenido, donde los atacantes usan sitios y aplicaciones falsos para vender espacio a anunciantes que creen que sus anuncios serán vistos por humanos. Las aplicaciones Android involucradas han sido eliminadas de Google Play Store. HUMAN agregó que una capa de monetización compartida que abarca más de 3.000 dominios permite que múltiples actores de amenazas se conecten a la misma infraestructura, creando un sistema de lavado distribuido que aumenta la resiliencia, complica la atribución y permite una replicación rápida.
