Anuncios fraudulentos en Meta: análisis de 14,5M de anuncios y cómo operan las estafas | Informe Gen

Durante un periodo de 23 días, Gen Threat Labs analizó 14,5 millones de anuncios publicados en las plataformas Meta en toda la UE y el Reino Unido, lo que representa más de 10.700 millones de impresiones. Casi uno de cada tres de esos anuncios (30,99%) apuntaba a un enlace fraudulento, de phishing o de malware. En total, los anuncios fraudulentos generaron más de 300 millones de impresiones en menos de un mes. La actividad estaba muy concentrada, ya que solo 10 anunciantes eran responsables de más del 56% de todos los anuncios fraudulentos observados. Se rastrearon grupos de campañas repetidas hasta pagos e infraestructuras compartidas vinculadas a China y Hong Kong, lo que indica que se trata de operaciones organizadas a escala industrial y no de actores maliciosos aislados. Siga leyendo para saber cómo funciona este ecosistema, por qué las medidas coercitivas existentes no logran contenerlo y qué revelan los datos sobre quién está impulsando la publicidad fraudulenta a gran escala.

Publicidad diseñada para persuadir

Hoy en día, la publicidad en redes sociales se utiliza para cometer fraudes a gran escala en algunas de las plataformas más importantes.

No se trata de fallos aislados en las políticas ni de unos pocos anunciantes malintencionados que se escapan de la moderación. Se trata de un sistema publicitario que resulta estructuralmente atractivo para los delincuentes y que les ofrece resultados de forma constante.

En Internet, los anuncios se han convertido silenciosamente en uno de los mecanismos más eficaces para las estafas, el phishing y el malware. Hoy en día, los anuncios peligrosos no parecen sospechosos, sino profesionales, familiares y adaptados a las necesidades exactas del usuario. En las redes sociales, los mismos motores de optimización diseñados para maximizar la participación y la conversión se están reutilizando para maximizar la victimización. Y eso no es casualidad.

Cuando la publicidad se convierte en el canal de ataque

La mayoría de la gente sigue imaginando que los ciberataques comienzan con una descarga dudosa o un correo electrónico o mensaje de texto sospechoso. Cada vez más, comienzan con algo mucho más normal: un anuncio. El malvertising (publicidad maliciosa) ha aumentado porque ofrece a los delincuentes lo que todo comercializador desea: alcance instantáneo, orientación precisa y escala. La telemetría general muestra que el malvertising se ha convertido en la mayor amenaza para las personas, ya que representa el 41% de todos los ciberataques.

El malvertising se ha convertido en la principal amenaza para los consumidores porque ya no tiene el aspecto que solía tener. La gente cree que sigue pareciendo una ventana emergente llamativa que grita «Soy un virus» o una suscripción falsa. El modelo moderno es más silencioso y eficaz. Se trata de un conjunto de herramientas de ingeniería social que se integra en aquello en lo que la gente ya confía y a lo que presta atención. Esto se ve claramente en los ataques de «autoestafa» como FakeCaptcha y ClickFix, en los que se incita a las víctimas a hacer el trabajo del atacante por ellos, aprobando un aviso del navegador, habilitando las notificaciones push, copiando y pegando comandos o «verificando» algo que parece rutinario. Las notificaciones push del navegador, en particular, se han convertido en un gancho fiable, ya que un solo clic puede convertir una visita normal a un sitio web en un flujo persistente de avisos y redireccionamientos fraudulentos.

Los atacantes también toman prestado directamente del marketing legítimo. Se aprovechan de las tendencias, explotan la urgencia y añaden señales de credibilidad. Esto incluye combinar anuncios maliciosos con deepfakes y temas de actualidad, especialmente en estafas relacionadas con inversiones y criptomonedas. Los investigadores de Gen han documentado ampliamente este fenómeno en las campañas CryptoCore, en las que se utilizaron vídeos deepfake y cuentas secuestradas para promover planes de inversión fraudulentos a gran escala.

Otra táctica persistente y exitosa es la suplantación de identidad. Los ciberdelincuentes compran anuncios en las principales redes publicitarias (incluidos los anuncios de búsqueda) para hacerse pasar por marcas de confianza. Los resultados van desde redireccionamientos maliciosos a sitios de phishing hasta descargas inadvertidas en las que se instala malware como parte de la ruta de clics del anuncio, a menudo sin que la víctima se dé cuenta de lo que ha sucedido hasta más tarde.

Y la publicidad maliciosa no se limita a los rincones oscuros de la web. Incluso los sitios web más fiables pueden mostrar anuncios maliciosos sin saberlo, ya que los anuncios se distribuyen a través de cadenas de suministro complejas y automatizadas. El efecto neto es que la publicidad maliciosa se ha convertido en una forma rápida y eficaz de estafar y suplantar la identidad de las personas. Las investigaciones de Gen sobre las plataformas de redes sociales muestran que la publicidad maliciosa constituye aproximadamente el 30% de los incidentes de estafa observados en las redes sociales, lo que la convierte en una de las amenazas más comunes a las que se enfrentan los usuarios en los feeds y los anuncios.

Si la publicidad maliciosa es ahora una de las principales formas en que los delincuentes llegan a sus víctimas, entonces medir lo que ocurre dentro de los principales ecosistemas publicitarios no solo es interesante, sino necesario.

Cuando el fraude online se extiende

Lo que hemos descubierto no es solo crecimiento, sino una propagación descontrolada. Lo que comienza como una estafa aislada escondida en un rincón oscuro de la web no se queda ahí. Se propaga, muta y se incrusta en canales que miles de millones de personas utilizan a diario. La publicidad online, que antes era una herramienta para conectar a los consumidores con productos y servicios, se ha convertido en parte de la propia superficie de ataque.

La familia de aplicaciones de Meta, que incluye Facebook, Instagram, Threads, WhatsApp y Messenger, llega a un número asombroso de personas. En el segundo trimestre de 2025, Meta informó de que los usuarios activos diarios en todas sus plataformas alcanzaban unos 3.480 millones en todo el mundo. Cuando un sistema tan grande se convierte en una puerta de entrada para las estafas, el impacto ya no es aislado.

La infraestructura de las estafas no opera en paralelo a estas plataformas. Opera a través de ellas, aprovechando sus señales de confianza, sus mecanismos de interacción y sus capacidades de segmentación para propagarse rápidamente.

Ese es el contexto en el que se enmarca lo que hemos medido.

Cómo medimos el problema

Nuestro laboratorio Gen Threat Labs sabía que los anuncios de Meta eran un problema y se propuso medir su alcance exacto. En lugar de perseguir ejemplos individuales de estafas, creamos un canal de medición a gran escala en torno a la API de transparencia publicitaria de Meta, que proporciona visibilidad de los anuncios que están activos actualmente o que lo han estado recientemente en las plataformas de Meta. Cada día, recopilamos anuncios que estaban activos o habían estado activos recientemente, contenían texto publicitario en inglés y se mostraban a usuarios de regiones cubiertas por la biblioteca de transparencia publicitaria de Meta, principalmente la UE y el Reino Unido. Aunque los anuncios en sí mismos a menudo promocionaban contenido destinado a una audiencia global, nuestro análisis se centró en los anuncios visibles a través del marco de transparencia, en lugar de intentar inferir la segmentación fuera de lo que la API expone explícitamente. Evitamos intencionadamente reducir aún más el alcance para captar cómo se comporta la publicidad fraudulenta a gran escala, y no solo en casos extremos obvios.

Este trabajo existe porque la normativa obligó a la visibilidad. En la UE y el Reino Unido, los requisitos de transparencia publicitaria exponen el comportamiento de los anunciantes de una manera que no se puede replicar en otros lugares, lo que permite una medición independiente de la publicidad fraudulenta a escala industrial. Cuando no existe dicha normativa, la actividad fraudulenta no desaparece, sino que simplemente se vuelve más difícil de medir. La transparencia no crea el abuso, sino que lo revela.

Para este análisis, nos centramos en anuncios dirigidos al consumidor y no recopilamos ni analizamos intencionadamente publicidad política. Los anuncios políticos son autodeclarados por los anunciantes, por lo que, aunque algunos pueden aparecer en el conjunto de datos debido a una clasificación errónea, no eran el objetivo de este estudio.

Incluso con estas limitaciones, el conjunto de datos se volvió rápidamente enorme.

14,5 millones de anuncios, miles de millones de impresiones, un patrón

Durante un periodo de 23 días, recopilamos 14,57 millones de anuncios, lo que representa 10.760 millones de impresiones en toda la UE y el Reino Unido. Aunque se trataba de una visión parcial del ecosistema, la magnitud era imposible de ignorar.

Mediante el uso de tecnología de inteligencia y clasificación, identificamos anuncios que apuntaban a infraestructuras asociadas con estafas de comercio electrónico, campañas de phishing, distribución de malware y otras amenazas dirigidas a los consumidores. Esto nos permitió ir más allá del texto de los anuncios y examinar a qué se enviaba realmente a los usuarios.

Los resultados no fueron sutiles. Se identificaron 4,51 millones de anuncios en nuestra base de datos como relacionados con estafas, lo que significa que casi uno de cada tres anuncios (30,99%) apuntaba a infraestructuras fraudulentas. En total, estos anuncios fraudulentos generaron 143,8 millones de impresiones en la UE y 304,11 millones de impresiones en la UE y el Reino Unido en menos de un mes.

No se trata de un caso aislado. Es un volumen increíble.

Por qué las retiradas no escalan

El volumen por sí solo no explica por qué persiste este problema. Por lo tanto, analizamos el comportamiento a lo largo del tiempo.

En todo el conjunto de datos, observamos repetidamente que los estafadores reutilizaban la misma infraestructura, dominios idénticos y textos publicitarios casi idénticos en muchas campañas. En múltiples casos, cuando un anuncio desaparecía de la biblioteca de anuncios por infringir las políticas, otros anuncios que utilizaban el mismo dominio y mensajes permanecían activos hasta que sus campañas expiraban de forma natural.

Desde fuera, parece que la aplicación de las normas sobre anuncios fraudulentos es reactiva. Los anuncios parecen eliminarse uno a uno, a menudo tras recibir denuncias o revisiones, mientras que las campañas relacionadas que utilizan la misma infraestructura siguen funcionando. Incluso cuando los componentes fraudulentos se reutilizan a gran escala, la generalización parece lenta, aunque sean publicados por el mismo anunciante.

No podemos ver las señales de detección internas de Meta, por lo que tenemos cuidado de no atribuir intenciones. Pero el resultado observable es claro: los componentes básicos conocidos de las estafas suelen seguir siendo utilizables mucho tiempo después de que se haya eliminado un caso concreto.

A esta escala, esa distinción es importante.

Un pequeño número de anunciantes causan un daño desmesurado

La escala nos indica la magnitud del problema. La aplicación de la ley nos muestra por qué persiste.

Pero, para comprender quién está realmente causando el daño, planteamos una pregunta diferente: ¿los anuncios fraudulentos son impulsados por innumerables actores pequeños o por un número menor de grupos criminales muy activos?

La respuesta fue clara.

La publicidad fraudulenta también estaba muy concentrada. Solo los 10 principales anunciantes fraudulentos representaban el 56,1% de todos los anuncios fraudulentos, lo que supone 2,53 millones de anuncios fraudulentos únicos y 57,92 millones de impresiones. Un número relativamente pequeño de entidades anunciantes era responsable de la mayor parte del daño observado.

Estos anunciantes no son aficionados anónimos. Son operadores organizados y persistentes que llevan a cabo campañas a escala industrial.

En repetidas ocasiones, hemos rastreado grupos de campañas hasta llegar a pagadores e infraestructuras vinculadas a China y Hong Kong, que operan flotas de páginas efímeras creadas casi exclusivamente para publicar anuncios. Las marcas occidentales y los escaparates en inglés cambiaban rápidamente, mientras que los pagadores y los beneficiarios rotaban o desaparecían por completo de las divulgaciones. Lo que no cambiaba era la mecánica: los mismos dominios, patrones de URL y comportamientos publicitarios reaparecían en anunciantes supuestamente no relacionados entre sí.

Lo que viene después

Las cifras por sí solas son inquietantes. Millones de anuncios fraudulentos. Cientos de millones de impresiones. Un pequeño número de actores están causando un daño desproporcionado, de forma repetida y a gran escala.

No se trata de una moderación imperfecta. Se trata de un sistema que, en la práctica, permite a los atacantes moverse más rápido de lo que las restricciones pueden seguirles el ritmo. En nuestra próxima entrada del blog, pasaremos de la medición a la mecánica de esta investigación. Desglosaremos las técnicas que utilizan los estafadores para ocultar anuncios maliciosos a plena vista, incluyendo cómo manipulan las URL mostradas, encadenan redireccionamientos, mezclan enlaces maliciosos con legítimos y explotan los límites de las propias herramientas de transparencia.

Porque comprender la magnitud del problema es solo el primer paso. Comprender cómo persiste es lo que permite acabar con él.