Una investigación revela una red global de estafas difundidas en Facebook e Instagram

Si bien Meta presentó recientemente una demanda contra dos empresas brasileñas por estafas publicitarias, una investigación realizada por investigadores de Bitdefender Labs revela la existencia de un vasto ecosistema de fraude que se basa en esta misma infraestructura publicitaria.

Presente en al menos 25 países, esta operación ilustra la evolución de las estrategias de ciberdelincuencia financiera, ahora estructuradas como verdaderas plataformas a gran escala…

Una máquina de fraude global basada en la publicidad Meta

Entre el 9 de febrero y el 5 de marzo de 2026, los investigadores de Bitdefender analizaron 310 campañas publicitarias fraudulentas distribuidas a través de plataformas Meta. En total, se identificaron más de 26000 anuncios, en más de quince idiomas y en seis continentes.

Según la investigación, detrás de estas campañas se esconde un ecosistema coordinado que busca sistemáticamente dirigir a los usuarios de internet hacia el fraude de inversión. Los escenarios varían según el país, pero el mecanismo sigue siendo el mismo: los anuncios adoptan la forma de revelaciones exclusivas, escándalos televisivos o supuestas oportunidades limitadas. Estos anuncios suelen imitar a medios de comunicación consolidados y utilizan nombres de figuras públicas para reforzar su credibilidad, como en Francia, donde algunas variaciones presentan a personalidades de los medios como Léa Salamé o políticos en artículos ficticios. Una vez convencido el usuario de internet, se le anima a rellenar un formulario con su información de contacto. Esta información se utiliza para alimentar redes de fraude donde los operadores contactan directamente a las víctimas para presionarlas a invertir en plataformas falsas de trading o criptomonedas. Un sistema industrial diseñado para eludir la moderación. Uno de los aspectos más llamativos de esta operación reside en las técnicas empleadas para evadir los sistemas de detección automatizados. Los investigadores observaron varios métodos de evasión integrados directamente en la infraestructura. Algunos anuncios, por ejemplo, muestran una vista previa que enlaza a un dominio legítimo, a veces incluso a google.com. Sin embargo, tras un clic, una cadena de redirecciones invisibles lleva al usuario a una página fraudulenta.

Los ciberdelincuentes también operan granjas de sitios web falsos que imitan a medios de comunicación conocidos, como Le Monde, y utilizan técnicas de sustitución de caracteres.

En concreto, las letras latinas se sustituyen por equivalentes cirílicos visualmente idénticos, lo que permite al atacante eludir los filtros automáticos sin ser detectado por el usuario.

En algunos casos, incluso se utilizan sitios web perfectamente legítimos, como los de restaurantes o negocios locales, como URL frontales para ocultar el ataque.

Una organización estructurada como un modelo de franquicia…

El análisis de metadatos e infraestructura técnica sugiere que este fraude no es obra de un solo grupo. Los investigadores sugieren que varios operadores distintos comparten las mismas herramientas y métodos. Es probable que el sistema funcione con un modelo de afiliados, donde un conjunto de herramientas compartido permite a los equipos lanzar sus propias campañas utilizando los mismos mecanismos de monetización. Sin embargo, los rastros encontrados en algunas campañas revelan señales operativas en ruso, aunque no hay pruebas que atribuyan la operación a un agente estatal.