Érase una vez una granja de clics: escritorios y estanterías repletas de smartphones en algún almacén asiático, con trabajadores a los que se les pagaba por hacer clic en anuncios todo el día. Imágenes nítidas, fácilmente identificables y fáciles de combatir. Entonces llegó septiembre de 2025 y Anuncios de desperdiciosY todo cambió.
Se acabaron los almacenes. Se acabaron los trabajadores. Basta con 224 aplicaciones aparentemente inocuas en Google Play y 38 millones de usuarios que las descargan, pensando que están obteniendo un editor de fotos impulsado por IA. Tu teléfono se convierte en una granja de clics. Tú te conviertes en el trabajador involuntario. Y las estafas en línea están alcanzando niveles sin precedentes: Miles de millones de solicitudes de publicidad falsa al día. Bienvenidos a la era de las granjas de clics fantasma, donde los estafadores han dejado de comprar teléfonos y han empezado a alquilar los tuyos.
SlopAds, el crimen perfecto
Los investigadores de Seguridad HUMANA Llamaron a la operación Anuncios de desperdicios, un nombre que recuerda tanto la naturaleza cutre de las aplicaciones (producidas en masa, un poco como la basura de IA que congestiona Internet) como los servicios falsos con temática de IA alojados en servidores de delincuentes. La investigación reveló una arquitectura criminal muy sofisticada. que ha funcionado sin interrupciones en Google Play durante meses.
Las aplicaciones funcionaban de verdad. Editores de fotos, generadores de imágenes con IA, asistentes conversacionales: cumplían con todo lo prometido. Pero había truco. Solo los usuarios que descargaban la aplicación tras hacer clic en un anuncio publicado por los propios delincuentes recibían el "regalo extra". Un módulo malicioso llamado Módulo de grasa, oculto en cuatro imágenes PNG mediante esteganografía1 Digital. No hubo problemas en Play Store. La aplicación estaba limpia y la experiencia del usuario fue normal.
FatModule creaba ventanas invisibles (WebViews ocultas) que cargaban sitios controlados por los estafadores: portales de noticias falsas y juegos HTML5 diseñados para generar impresiones publicitarias continuas. El teléfono simulaba desplazamiento, clics y visualización, todo mientras el usuario dormía, trabajaba o veía series de televisión.
Las cifras te marean.
En el punto álgido de la operación, SlopAds generaba 2,3 millones de solicitudes de anuncios falsos cada díaLos 38 millones de dispositivos infectados se distribuyeron en 228 países: prácticamente en todas partes. El 30% del tráfico procedía de Estados Unidos, el 10% de India y el 7% de Brasil. ¿Y Italia? También estaba presente, como siempre. estafas en línea.
Cada impresión falsa generaba micropagos. Millones de micropagos. Los delincuentes eran dueños de los sitios donde se mostraban los anuncios, por lo que cada clic falso se convertía en dinero real. En Italia, las estafas en línea ya han robado más de 600 millones de euros en 2024., un aumento del 30% con respecto al año anterior. SlopAds representa un salto cualitativo: ya no se trata de phishing ni de mercados falsos, sino de dispositivos transformados en herramientas de fraude sin que el usuario se dé cuenta.
La inteligencia artificial como cebo
Los delincuentes se han aprovechado del auge de la inteligencia artificial. Aplicaciones con nombres llamativos: Ayudante de difusión estable, Guía AI, Asistente de ChatGLMTodos prometían capacidades de IA gratuitas o de bajo coste. Y la gente picó el anzuelo, porque en 2025, ¿quién no querrá un editor de fotos que genere imágenes con solo pedirles una pista?
Pero la IA no solo se utilizó como cebo. Un estudio publicado en Informes científicos en julio de 2025 mostró que El 70% de las personas no puede distinguir una voz clonada de la original. La inteligencia artificial está impulsando las estafas en línea en todos los ámbitos: desde llamadas de voz manipuladas con inteligencia artificial que se hacen pasar por tu hijo, hasta bots que imitan el comportamiento humano para generar clics falsos. Los estafadores han aprendido a usar la automatización y el aprendizaje automático para burlar los filtros de las plataformas.
Google interviene, pero ya es demasiado tarde.
Tras el informe de Seguridad HUMANAGoogle eliminó las 224 aplicaciones identificadas en la Operación SlopAds y activó Google Play Protect para advertir a quienes aún las tenían instaladas. Los usuarios afectados recibieron notificaciones que les instaban a desinstalarlas de inmediato. ¿Fin de la historia? No.
Los investigadores son claros: La sofisticación de SlopAds sugiere que los delincuentes adaptarán el esquema para recuperarse.La infraestructura C2 (mando y control) identificada incluía más de 300 dominios promocionales. Esta red era demasiado extensa como para haber sido construida exclusivamente para esta operación. Los delincuentes ya se estaban preparando para expandirse.
El problema de fondo persiste: Google solo detecta el 10% del fraude publicitario. El resto es fácil. Y cuando las aplicaciones funcionan como se promete, distinguir entre las legítimas y las maliciosas se vuelve prácticamente imposible para los sistemas de verificación automática de Play Store.
SlopAds, ¿qué puedes hacer?
Las defensas clásicas ayudan, pero no son suficientes. Comprobar permisos de la aplicación Ese es un buen comienzo: si un editor de fotos te pide acceso a tu libreta de direcciones o ubicación, algo anda mal. Descargar solo de fuentes oficiales¡Genial!, pero SlopAds estaba ahí mismo, en la Play Store oficial. ¿Usas antivirus? Es útil, pero el malware esteganográfico oculto en imágenes PNG es difícil de detectar.
Lo cierto es que las estafas online han evolucionado. Ya no basta con ser precavidos. Debemos tratar el fraude publicitario como un problema de ciberseguridad corporativa, con la colaboración de los equipos de seguridad y marketing. Necesitamos detección en tiempo real, no meses después.
Y debes entender que tu teléfono, hoy en día, puede convertirse en una herramienta en manos de otra persona sin que lo sepas.
Nota:
- La esteganografía digital es una técnica que permite ocultar información secreta en archivos como imágenes, audio o vídeo, de forma que pase desapercibida. Por ejemplo, se puede ocultar un mensaje modificando pequeñas partes de una imagen, imperceptibles a simple vista. De esta manera, quien vea el archivo no se dará cuenta de que contiene un mensaje oculto, que solo podrá ser descifrado por alguien que conozca el método para encontrarlo. ↩︎
