Estafadores roban $400.000 con anuncios falsos de Uniswap en Google: una campaña de phishing que no se detiene

Una campaña de phishing mediante anuncios falsos en Google que suplantan al exchange descentralizado Uniswap ha robado al menos 400.000 dólares a usuarios de criptomonedas. El analista on-chain «b-block» identificó dos billeteras que concentran 146 ETH (aproximadamente 306.000 dólares) provenientes del fraude, mientras que la organización Security Alliance (SEAL) advierte que este tipo de ataque se ha vuelto constante durante más de un año.

Las víctimas son redirigidas a sitios clon de Uniswap a través de resultados patrocinados, donde un código malicioso oculto drena sus fondos sin que Google lo detecte.

Un anuncio falso de Uniswap drena $400.000 en criptomonedas

El analista on-chain «b-block» publicó en X (antes Twitter) que un sitio web que suplanta a Uniswap está drenando fondos de múltiples billeteras. Según su reporte, el atacante acumula al menos 400.000 dólares en fondos robados.

Stacy Muur, fundadora de la agencia de marketing Web3 Green Dots, confirmó el incidente y compartió una captura de pantalla del anuncio patrocinado en Google.

«Los estafadores están utilizando anuncios de Google que imitan perfectamente a Uniswap. Los usuarios hacen clic pensando que es el sitio oficial y pierden todos sus fondos», declaró Muur.

De acuerdo con datos de Etherscan, las dos direcciones señaladas por b-block contenían un total de 146 ETH, equivalentes a unos 306.000 dólares al momento del reporte. Sin embargo, el analista estima que el monto total robado podría ser mayor, ya que los atacantes han estado moviendo los fondos a través de múltiples billeteras para dificultar el rastreo.

Cómo los estafadores burlan los filtros de Google

La técnica del «malvertising»

Los atacantes pagan a Google o hackean cuentas legítimas de anunciantes para publicar anuncios que imitan a protocolos populares como Uniswap. La estrategia consiste en pujar más alto que las plataformas legítimas para aparecer en la sección «Resultados patrocinados», obteniendo así una posición privilegiada sobre el resultado real del buscador.

Esta práctica, conocida como «malvertising» (publicidad maliciosa), explota la confianza que los usuarios depositan en los resultados patrocinados de Google. Al aparecer en la parte superior de la página de búsqueda, muchos usuarios asumen que se trata del sitio oficial y hacen clic sin verificar la URL.

URLs engañosas y código malicioso oculto

Los anuncios fraudulentos utilizan URLs de apariencia legítima para superar las comprobaciones automatizadas de Google. Los estafadores registran dominios que se asemejan al original, como «uniswap-exchange.com» o «app-uniswap.org», que a simple vista pueden confundirse con la dirección oficial.

Una vez que el usuario hace clic, un «iframe secundario oculto» carga el código malicioso (payload), que es invisible para los sistemas de detección de Google. Este iframe actúa como un contenedor secreto que ejecuta el script de drenaje sin que el motor de búsqueda pueda identificarlo durante sus revisiones automáticas.

El clon perfecto

Las víctimas llegan a clones casi perfectos de las aplicaciones reales. Todo el tráfico de red se redirige en secreto a través de servidores controlados por los atacantes. La interfaz, los botones y las funciones son idénticas a las de Uniswap, lo que dificulta que el usuario detecte el engaño.

Cuando la víctima conecta su billetera cripto al sitio falso, el código malicioso solicita autorización para realizar transacciones. Al aceptar, el usuario otorga permisos que permiten al atacante drenar todos los fondos de la billetera.

Security Alliance (SEAL) reportó que entre el 13 y el 30 de marzo, este tipo de ataques robó un total de 1,27 millones de dólares, lo que demuestra la magnitud y la efectividad de la campaña.

Aumento «significativo» de la actividad de phishing en Google

Security Alliance (SEAL) reportó en abril un «aumento significativo» en la actividad de phishing en la búsqueda de Google durante marzo de 2026. La organización sin fines de lucro, dedicada a proteger a los usuarios de criptomonedas, ha bloqueado más de 356 enlaces de anuncios maliciosos, una cifra que representa «un volumen constante de anuncios de Google implementados por atacantes cada semana durante más de un año».

«La campaña no se está desacelerando, y estamos recibiendo más informes de usuarios afectados», declaró un portavoz de SEAL.

La organización advierte que los estafadores están refinando constantemente sus técnicas para evadir los filtros de seguridad del buscador.

DeFiLlama, otra fuente del sector, señaló que «los anuncios falsos en Google son una fuente común de ataques de phishing». La plataforma de análisis DeFi recomendó a los usuarios extremar las precauciones y verificar siempre la autenticidad de los sitios web antes de realizar transacciones.

No solo Google: Facebook y Claude también son utilizados para estafas

La campaña de anuncios falsos no se limita a Google. A principios de mayo de 2026, se reportó que los atacantes estaban abusando de Google Ads y de chats compartidos del chatbot de inteligencia artificial Claude, de Anthropic, en una campaña activa de «malvertising» dirigida a usuarios de Mac.

Según Malwarebytes, Facebook también es un foco de anuncios falsos. En febrero de 2026, la empresa de ciberseguridad detectó anuncios pagados en la red social que parecían promociones oficiales de Microsoft. En esos casos, las víctimas eran dirigidas a clones de la página de descarga de Windows 11, donde se implementaba malware diseñado específicamente para robar criptomonedas y credenciales de acceso.

Los expertos señalan que los estafadores están diversificando sus plataformas para maximizar el alcance de sus ataques. La combinación de anuncios patrocinados en buscadores y redes sociales crea múltiples puntos de entrada para engañar a los usuarios.

Cómo protegerse de los anuncios de phishing en buscadores

Los especialistas en seguridad recomiendan varias medidas para evitar caer en este tipo de estafas. En primer lugar, es fundamental verificar siempre la URL del sitio web antes de conectar una billetera cripto. Los dominios oficiales de Uniswap son «uniswap.org» y «app.uniswap.org».

También se aconseja evitar hacer clic en resultados patrocinados para acceder a exchanges o protocolos conocidos. La forma más segura es escribir manualmente la dirección en el navegador o utilizar marcadores (bookmarks) oficiales guardados previamente.

Otra recomendación clave es mantenerse alerta ante promociones o anuncios que parezcan «demasiado buenos para ser verdad». Los estafadores suelen ofrecer recompensas, airdrops o descuentos inexistentes para atraer a las víctimas.

Finalmente, los usuarios deben revisar los permisos que otorgan a las aplicaciones descentralizadas. Conectar la billetera solo cuando sea estrictamente necesario y revocar permisos después de cada transacción puede reducir significativamente el riesgo de perder fondos.