### Engaño impulsado por IA apunta a usuarios móviles La campaña **Pushpaganda**, identificada por el Equipo de Inteligencia e Investigación de Amenazas Satori de **HUMAN**, se dirige a los feeds de contenido personalizado de usuarios de Android y Chrome. Los investigadores Louisa Abel, Vikas Parthasarathy, João Santos y Adam Sell informaron que la operación genera tráfico orgánico inválido desde dispositivos móviles reales al engañar a los usuarios para que se suscriban a notificaciones que presentan mensajes alarmantes. En su punto álgido, aproximadamente 240 millones de solicitudes de oferta se asociaron con 113 dominios vinculados a la campaña durante un período de siete días. Inicialmente dirigida a la India, la amenaza se ha expandido a regiones que incluyen EE. UU., Australia, Canadá, Sudáfrica y el Reino Unido. Gavin Reid, director de seguridad de la información en **HUMAN**, enfatizó cómo los actores de amenazas están abusando de la IA para secuestrar superficies de descubrimiento confiables y transformarlas en vehículos de entrega de scareware, deepfakes y fraude financiero. **Google** ha implementado desde entonces una solución para abordar el problema del spam. ### Cómo funciona la estafa El esquema se basa en atraer a usuarios desprevenidos a través de **Google** Discover hacia noticias engañosas llenas de contenido generado por IA. Una vez que un usuario llega a un dominio controlado por un actor, se le coacciona para que habilite notificaciones push que entregan falsas amenazas legales y estafas. Hacer clic en las notificaciones de scareware redirige a los usuarios a sitios adicionales operados por los actores de amenazas, generando tráfico orgánico hacia anuncios incrustados en esos sitios y permitiéndoles generar ingresos ilícitos.  ### Abuso de notificaciones push: una amenaza recurrente Esta no es la primera vez que los actores de amenazas utilizan notificaciones push como arma. En septiembre de 2025, **Infoblox** destacó a **Vane Viper**, un actor de amenazas que participa en el abuso sistemático de notificaciones push para mostrar anuncios y facilitar campañas de ingeniería social al estilo ClickFix. Lindsay Kaye, vicepresidenta de inteligencia de amenazas en **HUMAN Security**, señaló que las amenazas basadas en malware que involucran notificaciones push, tanto para plataformas web como móviles, no son nuevas. Los usuarios a menudo hacen clic rápidamente en estas notificaciones, lo que las convierte en una herramienta eficaz en el arsenal de un autor de malware. ### Respuesta de Google Un portavoz de **Google** declaró que la compañía mantiene la gran mayoría del spam fuera de Discover a través de robustos sistemas de lucha contra el spam y políticas contra formas emergentes de contenido manipulador de baja calidad. Antes de conocer el informe, lanzaron una solución para el problema del spam, manteniendo un alto estándar de contenido de calidad en Discover. **Google** ha implementado políticas sólidas contra el spam y sistemas de lucha contra el spam para abordar prácticas abusivas que muestran contenido no original y de baja calidad en Search y Discover. Se implementan actualizaciones algorítmicas regulares para marcar el contenido que viola las políticas y busca manipular las clasificaciones de búsqueda y noticias. Según la guía de **Google**, cualquier uso de IA para generar contenido principalmente para manipular las clasificaciones de búsqueda va en contra de sus políticas de spam. Esto incluye el abuso de contenido a escala, como el uso de herramientas de IA generativa para producir páginas que no ofrecen valor, la extracción de feeds y la creación de múltiples sitios para ocultar la naturaleza a escala del contenido. ### Mercados de blanqueo de fraude publicitario Esta divulgación sigue a la reciente identificación por parte de **HUMAN** de más de 3.000 dominios y 63 aplicaciones de Android que constituyen uno de los mercados de blanqueo de fraude publicitario más grandes jamás descubiertos. Esta operación, denominada Low5, monetiza dominios como sitios de "cashout" para esquemas de fraude sofisticados, incluido **BADBOX 2.0**. La operación alcanzó un pico de aproximadamente 2 mil millones de solicitudes de oferta al día y puede haber operado en hasta 40 millones de dispositivos en todo el mundo. Las aplicaciones asociadas con Low5 incluyen código que instruye a los dispositivos de los usuarios a visitar dominios conectados con el esquema y hacer clic en anuncios. Los sitios de "cashout", también llamados sitios fantasma, se utilizan para realizar fraudes basados en contenido, utilizando sitios y aplicaciones falsos para vender espacio a anunciantes que asumen que sus anuncios serán vistos por humanos. Las aplicaciones de Android en cuestión han sido eliminadas de la **Google Play Store**. **HUMAN** enfatiza que una capa de monetización compartida que abarca miles de dominios permite que múltiples actores de amenazas se conecten a la misma infraestructura, creando un sistema de blanqueo distribuido. Esto aumenta la resiliencia de las amenazas, complica la atribución y permite una replicación rápida. Incluso después de que se cierra una campaña de fraude específica, la infraestructura de monetización puede sobrevivir. Si se elimina una aplicación maliciosa o una red de dispositivos, los mismos dominios de "cashout" pueden ser reutilizados por otros actores. Low5 refuerza la necesidad de inteligencia de amenazas continua y agresiva y experiencia en detección para cazar dominios de "cashout" y marcarlos antes de la oferta.