Un astuto grupo de malvertising ha descubierto cómo abusar de una peculiaridad en Safari para bloquear las salidas de emergencia de los usuarios. Cuando intentas volver atrás, te hunden más profundo en la estafa.
Las campañas de publicidad maliciosa (malvertising) que te obligan a redirigirte a páginas fraudulentas no son nuevas, pero la forma en que los criminales evitan que escapes de ellas sí lo es. Hoy, 3 de marzo de 2026, se reporta los impresionantes números de una campaña persistente orquestada por un actor de amenazas conocido en la industria como D-Shortiez.
Durante los últimos seis meses, este grupo ha logrado servir la asombrosa cantidad de más de 300 millones de impresiones de anuncios maliciosos. Han apuntado principalmente a usuarios de la plataforma iOS en Estados Unidos, aunque su alcance también se ha extendido por Canadá y partes de Europa, operando mediante ráfagas calculadas y agresivas de alta distribución seguidas de pausas estratégicas.
La Trampa Técnica: Secuestrando WebKit
Mientras la industria publicitaria ha mejorado progresivamente el bloqueo de estas redirecciones forzadas, la red D-Shortiez ha sobrevivido encontrando una ventaja técnica sutil pero devastadora en el comportamiento de los navegadores móviles.
La carga útil maliciosa (payload) comienza de forma silenciosa con funciones estándar de rastreo y toma de huellas dactilares. Sin embargo, la verdadera ingeniería criminal ocurre en las mecánicas de redirección:
- El código de D-Shortiez utiliza un bloque anidado try/catch para lanzar múltiples intentos de redirección de manera completamente simultánea, maximizando así sus probabilidades de éxito contra los filtros integrados.
- El aspecto más distintivo de esta campaña ocurre cuando la víctima aterriza en la página de la estafa: el script explota silenciosamente el evento popstate del navegador.
- Utiliza la función window.top.history.pushState() para insertar una entrada falsa y engañosa directamente en la pila del historial de sesiones de la víctima.
- Finalmente, un manejador de eventos onpopstate (vinculado a window.top) atrapa instantáneamente cualquier intento del usuario por presionar el botón de “Atrás”. En lugar de regresar a la página web legítima que acababa de dejar, el usuario es redirigido nuevamente a la URL de la estafa.
Curiosamente, cuando los investigadores de seguridad probaron este código malicioso en todos los navegadores principales, no se produjo ningún comportamiento fuera de lo común. Safari en iOS fue la clara y única excepción, permitiendo que el script funcionara exactamente como los atacantes pretendían y bloqueando efectivamente el botón de retroceso de los usuarios.
Parches e Indicadores de Compromiso (IOCs)
Esta vulnerabilidad específica que afecta el motor WebKit fue informada formalmente a Apple el pasado 29 de septiembre. Afortunadamente, Apple la mitigó a través de la actualización de seguridad de Safari identificada como HT213600, la cual fue lanzada el 23 de enero de 2026.
Todos los usuarios de iOS que no hayan instalado este parche de seguridad permanecen directamente expuestos a esta sofisticada táctica de secuestro.
Para los equipos de operaciones publicitarias y ciberseguridad corporativa, los expertos recomiendan auditar las cadenas de suministro de anuncios y bloquear una amplia red de subdominios comodín (wildcard) asociados a los Indicadores de Compromiso (IOCs) de D-Shortiez. Estas URLs fraudulentas abarcan numerosas extensiones de dominio de nivel superior, incluyendo .shop, .site, .homes, .beauty, .skin, .boats y .cyou.
