Un nuevo y sofisticado esquema de fraude publicitario y distribución de malware, bautizado como Pushpaganda, ha logrado infiltrarse en los rincones más cotidianos de la vida digital: los feeds de Google Discover. Utilizando una mezcla letal de inteligencia artificial (IA) generativa y tácticas agresivas de SEO, este grupo de amenazas está logrando que millones de usuarios de Android y Chrome se conviertan, sin saberlo, en vectores de tráfico orgánico para una vasta red de cibercrimen.
¿Qué es Pushpaganda? El mecanismo de la "Propaganda Push"El equipo de investigación Satori de HUMAN ha desglosado esta operación que destaca por su volumen masivo. En apenas una semana, los investigadores detectaron más de 240 millones de solicitudes de anuncios vinculadas a un ecosistema de 113 dominios maliciosos.
El ciclo del ataque es simple pero devastadoramente efectivo:
Cebo de IA: Los atacantes utilizan IA para generar miles de noticias "atractivas" o alarmantes (clickbait) que cumplen perfectamente con los requisitos de Google Discover para aparecer en los teléfonos de los usuarios.
Captura de Suscriptores: Una vez que el usuario hace clic en la noticia falsa, el sitio web solicita permiso para "enviar notificaciones". Si el usuario acepta, ha caído en la trampa.
Persistencia y Malware: A partir de ese momento, el atacante tiene un canal directo al centro de notificaciones del teléfono. Envía mensajes alarmantes (alertas de virus falsas, premios inexistentes o noticias de última hora) que redirigen a sitios de descarga de malware, robo de credenciales o estafas financieras.
Aunque el abuso de notificaciones push no es un concepto nuevo —con antecedentes como el actor Vane Viper identificado en 2025 por Infoblox—, Pushpaganda eleva la amenaza a una escala industrial. Lo que comenzó como una operación centrada en la India se ha expandido agresivamente a mercados de alto valor, incluyendo:
Estados Unidos y Canadá.
Reino Unido.
Australia y Sudáfrica.
La diferencia clave radica en la IA. Mientras que antes los atacantes debían redactar manualmente sus noticias falsas, ahora la IA permite generar contenido en decenas de idiomas, adaptado a las tendencias locales en tiempo real, maximizando la probabilidad de que Google Discover lo promocione orgánicamente.
Detalles Técnicos: El Fraude de los "Sitios Fantasma" (Ghost Sites)La operación Pushpaganda es solo la punta del iceberg de un ecosistema más complejo de lavado de fraude publicitario. Los investigadores subrayan el uso de "Ghost Sites" (sitios fantasma) en el proceso de subasta de anuncios (pre-bid).
Estos sitios actúan como intermediarios que fingen tener tráfico de alta calidad para atraer dólares publicitarios de marcas legítimas. Al utilizar dispositivos móviles reales de usuarios que activaron las notificaciones, los atacantes logran que su tráfico parezca completamente humano y orgánico, evadiendo los filtros básicos de detección de bots que muchas empresas de publicidad digital utilizan actualmente.
¿Por qué es una amenaza crítica hoy?Este descubrimiento refleja una tendencia peligrosa: el fin de la era del contenido mediocre. Gracias a la IA, el contenido engañoso ahora se ve profesional, está bien escrito y es relevante.
Qué deben vigilar los usuarios y administradores de IT"Pushpaganda genera tráfico orgánico de usuarios reales al inducirlos a suscribirse a notificaciones que presentan mensajes alarmantes", señala el informe de HUMAN. El peligro reside en que el usuario confía en Google Discover como una fuente curada, lo que baja sus defensas naturales ante las solicitudes de permisos sospechosas.
Para mitigar el impacto de esta campaña, es fundamental prestar atención a los siguientes puntos:
Permisos de Notificación: Las empresas deben educar a sus empleados para que nunca acepten notificaciones de sitios web de noticias o blogs desconocidos. Es la principal vía de entrada de Pushpaganda.
Limpieza de Navegadores: Si un dispositivo empieza a mostrar alertas de "sistema infectado" o anuncios intrusivos en la barra de notificaciones, es probable que esté suscrito a un dominio de Pushpaganda. Se debe limpiar la caché y revocar permisos en Configuración > Notificaciones del navegador.
Monitoreo de Dominios: Los equipos de seguridad deben estar atentos a picos de tráfico hacia dominios nuevos o inusuales detectados en los informes de inteligencia de amenazas.
Aunque Google ya ha comenzado a implementar contramedidas técnicas para filtrar estos contenidos en Discover y Chrome, el juego del "gato y el ratón" continúa. La identidad de los operadores detrás de Pushpaganda sigue siendo un misterio, y el daño económico derivado del robo de presupuestos publicitarios y la infección de dispositivos móviles se cuenta por millones de dólares.
La lección de Pushpaganda es clara: en un mundo donde la IA puede fabricar credibilidad al instante, la atención del usuario es el activo más codiciado y, a la vez, el más vulnerable.