Los ciberdelincuentes han vuelto a explotar una de las vías más eficaces para engañar a usuarios legítimos: los resultados patrocinados de Google. Una campaña de phishing descubierta por investigadores de Guardio Labs está utilizando anuncios de Google para suplantar la página de inicio de sesión de GoDaddy ManageWP, una plataforma ampliamente utilizada por agencias, desarrolladores y empresas para administrar múltiples sitios de WordPress desde un único panel.
El ataque combina varias técnicas especialmente peligrosas: malvertising, páginas clonadas, ingeniería social y un sistema de phishing adversary-in-the-middle —AiTM— capaz de interceptar credenciales y códigos de autenticación en tiempo real. El objetivo no es solo robar una contraseña, sino conseguir acceso directo a cuentas desde las que se pueden controlar decenas o incluso cientos de sitios web.
La mecánica es sencilla, pero muy efectiva. Los atacantes compran un anuncio patrocinado en Google que imita la marca de ManageWP y lo posicionan por encima del resultado legítimo. Cuando un administrador busca “managewp” en el buscador, puede encontrarse con una página aparentemente fiable en la primera posición. Al hacer clic, es redirigido a una web falsa prácticamente idéntica a la interfaz real de acceso.
Este detalle es clave. Muchos usuarios siguen confiando en que el primer resultado de Google es seguro, especialmente cuando el anuncio parece corresponder con la marca que están buscando. Sin embargo, los espacios publicitarios también pueden ser utilizados por actores maliciosos para distribuir enlaces fraudulentos.
ManageWP, un objetivo de alto valor
ManageWP es una herramienta especialmente atractiva para los ciberdelincuentes porque centraliza la administración de sitios WordPress. Desde una sola cuenta, un usuario puede actualizar plugins, gestionar copias de seguridad, modificar contenidos, revisar seguridad y administrar múltiples instalaciones.
Según los datos citados por los investigadores, el plugin ManageWP Worker está instalado en más de un millón de sitios web. Esto amplifica enormemente el impacto potencial de una cuenta comprometida. Si un atacante obtiene acceso al panel de una agencia o de un administrador con muchos clientes, no compromete una sola web: puede abrir la puerta a una cadena completa de sitios.
Desde ahí, los delincuentes podrían alterar contenidos, instalar plugins maliciosos, insertar scripts de robo de información, crear usuarios administradores ocultos, redirigir tráfico, desplegar campañas de spam SEO o utilizar las webs comprometidas como infraestructura para nuevos ataques.
El salto del phishing tradicional al AiTM
La parte más preocupante de esta campaña es el uso de phishing adversary-in-the-middle. A diferencia de las páginas fraudulentas tradicionales, que simplemente recogen usuario y contraseña para que los atacantes los usen más tarde, este sistema actúa como un intermediario en tiempo real entre la víctima y el servicio legítimo.
Cuando el usuario introduce sus credenciales en la web falsa, el backend de los atacantes las reenvía inmediatamente al login real de ManageWP. Es decir, los ciberdelincuentes intentan iniciar sesión en ese mismo momento utilizando los datos de la víctima.
Si la cuenta tiene activada la autenticación de doble factor, el ataque no se detiene. La página fraudulenta muestra entonces un falso aviso de 2FA muy similar al legítimo. Cuando la víctima introduce el código temporal, este se envía directamente a los atacantes, que lo inyectan en la sesión activa. De esta forma, consiguen superar una protección que, en condiciones normales, debería reducir el riesgo de acceso no autorizado.
Este tipo de técnica demuestra que la autenticación multifactor basada en códigos temporales ya no es suficiente frente a campañas avanzadas de phishing en tiempo real. Sigue siendo necesaria, pero no infalible. Frente a ataques AiTM, las llaves de seguridad físicas o métodos resistentes al phishing ofrecen una protección mucho más sólida.
Un panel de control para manejar víctimas en directo
Guardio Labs también observó que los atacantes contaban con una infraestructura de mando y control que permitía gestionar las sesiones de phishing de forma interactiva. No se trataba de una campaña completamente automatizada, sino de una operación con intervención manual.
El panel permitía al operador avanzar por las distintas fases del engaño, solicitar información adicional y gestionar los retos de doble factor en función de cada víctima. Esta capacidad aumenta la efectividad del ataque porque permite reaccionar en tiempo real ante errores, bloqueos o comportamientos inesperados.
