Los anuncios de PowerLinks ponen en riesgo a millones de lectores, de publicaciones importantes como The Verge, Vice News y más

Los lectores de sitios web importantes como Vice News , CNET , The Verge , Neowin y más, han estado expuestos a riesgos de seguridad desde 2015 porque los anuncios que publican desde la plataforma de (platform use)publicidad PowerLinks(PowerLinks advertising) utilizan certificados SSL vencidos . Esto es lo que está sucediendo, a lo que se expone cuando lee publicaciones que incluyen anuncios de PowerLinks y lo que puede hacer para mantenerse seguro:

Los anuncios publicados a través de PowerLinks tienen certificados SSL que vencieron en octubre de 2015(October 2015)

Mientras leía varios sitios web en mi computadora personal, noté que mi solución de seguridad(security solution) se quejaba de que mi navegador intentaba comunicarse a través de un canal que está encriptado con un certificado que no es de confianza. Mi antivirus no podía garantizar la autenticidad del dominio con el que se estableció la conexión cifrada, y esto supuso un riesgo para mi seguridad . (security risk)Inicialmente, ignoré esta advertencia y seguí leyendo. Sin embargo, después de verlo en varios sitios web importantes, comencé a prestar atención y estudié las cosas con más detalle.

Me sorprendió descubrir que esta advertencia se muestra en grandes publicaciones en línea y siempre se debe a anuncios publicados desde pw.powerlinks.com. Todos ellos cuentan con un certificado SSL(SSL certificate) que caducó en octubre de 2015(October 2015) , como puedes ver a continuación.

PowerLinks, anuncios, SSL, vencido

Para verificar dos veces si esto era cierto y no solo una falsa alarma, probé otro producto de seguridad(security product) de primer nivel y los resultados fueron los mismos. Navegué por más sitios web y noté que el mismo problema se repetía para algunos nombres importantes en el mundo editorial(publishing world) .

¿Qué ofrece PowerLinks a los(PowerLinks offer) editores?

Según su sitio web oficial, PowerLinks tiene una cartera completa de soluciones y servicios publicitarios. Ofrecen un servidor de anuncios(Ad Server) para los sitios de su cartera de clientes, una plataforma de Ad Exchange(Ad Exchange platform) , anuncios nativos (en texto, en video, en imagen, en feed y en display) y más.

¿Por qué es esto un problema? Los problemas a los que nos exponemos cuando los sitios web muestran anuncios con certificados SSL vencidos(SSL)

Si no tiene instalada una buena solución de seguridad(security solution) , es posible que nunca note este problema. Sin embargo, si usa un buen antivirus que escanea su tráfico HTTP(HTTP traffic) en tiempo real, entonces le molestará un aviso de seguridad(security prompt) en varias publicaciones de medios grandes que usan servicios de publicidad proporcionados por PowerLinks .

Dejando a un lado el factor de molestia(annoyance factor) , le preguntamos a Catalin Patrascu (jefe del Departamento de Monitoreo y Seguridad de la Información del (Information Security and Monitoring Department)Equipo de Respuesta a Incidentes de Seguridad Informática Nacional(National Computer Security Incident Response Team) de Rumanía ) sobre los riesgos de seguridad relacionados con estos anuncios, y afirmó lo siguiente:

"Teóricamente, la verificación de los certificados SSL se puede realizar aunque estén vencidos. Para los usuarios que se acostumbran a este error y no verifican el certificado SSL cada vez que reciben el error, existe el riesgo de ser redirigidos a direcciones maliciosas". páginas y convertirse en el objetivo de los ataques de intermediarios"("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks") .

Otra cosa importante a considerar es que estos anuncios también rastrean los datos y el comportamiento del usuario. Estos datos se envían a través de un canal inseguro(insecure channel) , dejándolos vulnerables a la interceptación por parte de terceros no deseados.

Los sitios web afectados por este problema incluyen: The Verge , Vice News , CNET y más.

No conocemos la lista exacta de sitios web afectados por este problema. Asumimos que todos los clientes de PowerLinks están en riesgo. Hasta ahora, hemos identificado este problema en publicaciones de grandes medios como The Verge , Vice News , CNET , Neowin y otros(Neowin and others) . Estos sitios web tienen decenas de millones de lectores cada mes, y la seguridad de su audiencia se ha puesto en riesgo todos los días que han publicado anuncios de PowerLinks , desde (PowerLinks)octubre de 2015(October 2015) .

Este problema se debe a una simple negligencia por parte de PowerLink .

Lo que estamos tratando aquí es pura negligencia. Estos certificados SSL no han caducado durante un par de días o un mes. Han vencido desde 2015 y PowerLinks no está haciendo su trabajo de ofrecer soluciones publicitarias seguras tanto para las publicaciones en línea como para los lectores de esas publicaciones. Su equipo técnico no se dio cuenta de que su plataforma de publicidad(advertising platform) utiliza certificados SSL que han caducado durante años y no hizo nada para resolver este problema mientras ponía en riesgo a millones de lectores. ¿Los creadores de malware(Did malware) aprovecharon este problema? Esa es una buena pregunta, y no estamos seguros de si PowerLinks puede responder. Al final, ni siquiera se ocuparon de cosas básicas como las fechas de vencimiento.

¿Qué productos de seguridad(Which security) me ayudaron a descubrir este problema?

La primera vez que encontré este problema fue cuando navegaba por algunos de los sitios web que mencioné anteriormente y usaba ESET Smart Security como mi antivirus.

PowerLinks, anuncios, SSL, vencido

Este problema también fue confirmado por Kaspersky Total Security , como puede ver a continuación.

PowerLinks, anuncios, SSL, vencido

Nos complace que estos productos hayan hecho su trabajo al informarnos y mantenernos a salvo de las vulnerabilidades de seguridad de la plataforma de anuncios PowerLinks y nos ayuden a desentrañar lo que está sucediendo. (PowerLinks)Es una prueba más de que siempre debe instalar un producto antivirus(antivirus product) de terceros y dejar de navegar por la web sin protección. Si tiene curiosidad por obtener más información sobre los riesgos que implica navegar por la web sin protección, lea este experimento que hemos realizado: Cómo infectar su PC con Windows(Windows PC) mientras navega por la web para obtener cosas gratis.

¿Qué hicimos para ayudar a los lectores y publicaciones afectados por este problema de seguridad(security issue) ?

En primer(First) lugar, escribimos este artículo para informar a todos sobre este asunto. También le pedimos a PowerLinks un comentario oficial. Sin embargo, su correo electrónico de contacto oficial no funciona, y todo lo que recibimos es una falla de notificación de estado(Status Notification Failure) de entrega , que puede ver a continuación.

PowerLinks, anuncios, SSL, vencido

Enviamos este artículo a todas las publicaciones de medios que hemos encontrado que están afectadas, así como a PowerLinks , utilizando sus canales de redes sociales. Esperamos que no ignoren nuestro mensaje y tomen medidas para solucionar este problema.

UPDATE (03/21/2017): Finalmente logramos enviar nuestro mensaje a PowerLinks , y recibimos la siguiente respuesta de Branden Smythe , VP Business Development :

"Recibí un aviso de que se comunicó con PowerLinks. Abordaremos las inquietudes que publicó en breve".("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")

Hoy, revisamos nuevamente los sitios web donde encontramos los problemas que describimos y ahora todo funciona bien. Parece que PowerLinks ha realizado los pasos necesarios para asegurar la publicación de sus anuncios(ad delivery) en todos los sitios web, lo cual es excelente. Con suerte(Hopefully) , aprenderán de este problema y cuidarán mejor los conceptos básicos de seguridad, como la fecha de vencimiento(expiration date) de los certificados SSL .

¿Qué puede hacer para protegerse de los anuncios no seguros de PowerLinks ?

Si su solución de seguridad(security solution) se queja de los certificados SSL caducados utilizados por los anuncios de (SSL)PowerLinks , debe bloquearlos. Si no tiene un antivirus que escanee su tráfico HTTP(HTTP traffic) en tiempo real , entonces debe ejecutar estos sitios web utilizando modos de navegación privados que también bloquean los anuncios inseguros o encuentra alguna otra forma de bloquearlos. No somos fanáticos de bloquear anuncios en los sitios web que hemos mencionado porque la publicidad es lo que hace que estas publicaciones puedan brindar a todos un excelente contenido. Con suerte, este problema se resolverá pronto y todos podremos disfrutar de nuestras publicaciones favoritas, de forma segura, sin bloquear su publicidad y permitiéndoles obtener ingresos de su trabajo.



Ana Belén Cortes

About the author

¡Hola! Mi nombre es, y soy un hacker de hardware. Tengo más de 10 años de experiencia en la reparación y modificación de computadoras. Puedo arreglar casi cualquier cosa, desde computadoras portátiles hasta tabletas y televisores inteligentes. Con mis habilidades, puedo ayudar a los clientes a resolver sus problemas de manera rápida y eficiente. Mi blog está dedicado a ayudar a las personas a aprender a reparar sus computadoras y electrodomésticos con las herramientas adecuadas. ¡Y mi página de Facebook es donde comparto consejos, trucos y conocimientos sobre todo lo relacionado con la informática!


Related posts