defensiva
adware
malware
PUA

Qué es adware: tipos, riesgos, ejemplos reales y cómo eliminarlo

Qué es adware, tipos (legítimo, agresivo, malicioso, mobile), ejemplos reales (Fireball, Lenovo Superfish, ad fraud) y cómo eliminarlo en empresa.

Secra10 de mayo de 202612 min de lectura

Adware es software que muestra publicidad no solicitada al usuario y recopila datos de navegación con fines publicitarios. Algunas variantes redirigen además el tráfico web a anunciantes controlados por el distribuidor. Vive en la frontera entre software molesto y malware: una parte significativa de adware no es estrictamente ilegal y aparece etiquetado por las herramientas antivirus como PUA (Potentially Unwanted Application) o PUP (Potentially Unwanted Program), mientras que las variantes más agresivas se acercan al spyware (categoría próxima dentro de tipos de malware) y al malware bancario.

Esta guía explica qué es adware en concreto, los cuatro tipos que aparecen en investigaciones (legítimo declarado, agresivo, malicioso, mobile), los riesgos reales tanto para usuario doméstico como para empresa, casos documentados (Fireball, Lenovo Superfish, campañas de ad fraud), cómo se detecta, cómo se elimina paso a paso y por qué un programa antivirus moderno lo bloquea antes de que llegue al endpoint.

Qué es adware

El adware es software cuyo propósito principal o secundario es mostrar publicidad al usuario, redirigir su navegación a anunciantes o recopilar datos para fines publicitarios. Las cuatro propiedades que lo identifican:

  1. Monetización por publicidad como modelo de negocio del distribuidor.
  2. Instalación frecuentemente con consentimiento dudoso: bundle con software gratuito, falsos instaladores, cracks, extensiones de navegador.
  3. Persistencia en el sistema mediante mecanismos típicos: extensiones de navegador, servicios de Windows, agentes de inicio, modificación del navegador por defecto.
  4. Impacto variable: desde anuncios pop-up esporádicos hasta secuestro del navegador y captura de datos sensibles.

Lo que aporta al distribuidor:

  • Ingresos por publicidad. Pay-per-click, pay-per-install, redirección a redes de afiliados.
  • Datos de navegación. Historial, búsquedas, hábitos de compra. Revenden a brokers de datos.
  • Pixel tracking. Fingerprinting del dispositivo para anuncios dirigidos.
  • Pre-instalación en hardware vía OEM bundles (Lenovo Superfish es el caso paradigmático).

Lo que lo distingue del malware puro:

  • Algunas variantes están reconocidas legalmente como software con consentimiento ambiguo, no penal.
  • No siempre roba credenciales ni daña datos, aunque las variantes agresivas se acercan.
  • El usuario suele firmar EULAs que autorizan parte del comportamiento, aunque las firme sin leer.

Cuatro tipos según gravedad

Adware legítimo declarado

Software gratuito que se financia mostrando publicidad y lo declara en la instalación. Ejemplos históricos: versiones gratuitas de aplicaciones móviles, descargas de Windows con anuncios opt-in, Spotify Free con publicidad entre canciones. La frontera con freemium legítimo es difusa pero existe.

Riesgo bajo si el usuario es consciente. Las plataformas modernas (Apple App Store, Google Play, Microsoft Store) imponen reglas sobre transparencia y consentimiento que han reducido los abusos.

Adware agresivo (PUP/PUA)

Programas que muestran muchos más anuncios de lo esperado, modifican configuración del navegador (página de inicio, motor de búsqueda, extensiones), añaden barras de herramientas no solicitadas y persisten incluso tras desinstalación aparente.

Vector típico: bundle con instaladores de software gratuito. El usuario instala un descodificador de vídeo y, sin darse cuenta, instala además tres extensiones de navegador y dos servicios de Windows. Familias clásicas: Conduit, Babylon, MyWay, Mindspark, OpenCandy.

Los antivirus modernos los etiquetan como PUP/PUA y permiten al usuario eliminarlos. Microsoft Defender los bloquea por defecto desde 2020.

Adware malicioso

Cruza la línea hacia malware. Comportamientos:

  • Browser hijacker: secuestra completamente el navegador, redirige búsquedas a sitios controlados que sirven más anuncios o malware.
  • Click fraud: simula clicks en anuncios desde el equipo víctima generando ingresos al distribuidor.
  • Captura de datos de navegación: cookies, formularios, credenciales bancarias en algunos casos.
  • Distribución de malware adicional: el adware sirve de carga inicial que descarga troyanos o stealers.

Familias: Fireball (2017), Adload (macOS), DealPly, ChromeBack, Vonteera.

Adware móvil

Categoría que más ha crecido 2022-2026. Aplicaciones Android principalmente (iOS resulta más controlado por App Store), pero también iOS vía perfiles de configuración maliciosos o tiendas alternativas.

Comportamientos típicos: notificaciones push spam, anuncios full-screen al abrir cualquier app, drenaje de batería por hilos en background, suscripciones premium SMS sin consentimiento explícito.

Familias documentadas: HiddenAds, FakeAdsBlock, Joker (suscripciones), BatBat (campañas masivas Play Store 2023-2024). Google ha retirado miles de apps de la Play Store por adware agresivo, pero el problema se reproduce continuamente porque la barrera de entrada es baja.

Riesgos reales

Adware tiene reputación de "molesto pero inofensivo". En 2026 esa visión es obsoleta.

Para usuario doméstico:

  • Rendimiento degradado y batería consumida.
  • Privacidad comprometida por tracking masivo.
  • Riesgo de cadena: adware sirve como gateway para troyanos o stealers.
  • Suscripciones premium no deseadas en móvil.
  • Captura de información bancaria en variantes agresivas.

Para empresa:

  • Endpoints lentos y con problemas que generan tickets al servicio TI.
  • Cookies y sesiones autenticadas a recursos corporativos potencialmente leakeadas.
  • Exposición a malvertising: anuncios maliciosos que sirven exploits zero-day.
  • Visibilidad reducida del SOC cuando el ruido de tráfico publicitario satura los logs.
  • Riesgo reputacional si el adware viene preinstalado en equipos corporativos (caso Lenovo Superfish).
  • Incumplimiento NIS2/RGPD si los datos personales que el adware exfiltra entran en alcance regulatorio.

Ejemplos reales documentados

Casos que conviene tener en cabeza.

Fireball (2017). Operación de Rafotech (firma china de marketing digital) que infectó aproximadamente 250 millones de equipos. Distribuía adware en bundle con instaladores gratuitos. Funcionalidad de browser hijacker más capacidad de descargar y ejecutar código arbitrario. Check Point la clasificó como malware, no PUP, por las capacidades de ejecución remota.

Lenovo Superfish (2014-2015). Adware preinstalado en portátiles consumer Lenovo. Inyectaba anuncios en sesiones HTTPS instalando un certificado raíz propio en el sistema. Generó una vulnerabilidad MitM masiva durante meses. Lenovo emitió herramientas de eliminación tras presión pública y reguladores. Caso paradigmático de adware preinstalado que cruza a riesgo de seguridad serio.

Adload (macOS, 2017-presente). Familia activa de adware en macOS, distribuida por instaladores falsos de Flash Player y similares. Persistente, capaz de evadir XProtect inicialmente, requería rondas sucesivas de actualizaciones de Apple. Su éxito histórico es ejemplo de que macOS no es inmune.

Campañas Joker (Android, 2017-presente). Apps en Play Store con funcionalidad oculta de suscripción premium SMS sin consentimiento. Google ha retirado cientos de aplicaciones; los desarrolladores publican variantes nuevas continuamente.

HiddenAds (Android, 2020-presente). Apps que ocultan su icono tras la instalación y muestran anuncios full-screen periódicamente. Millones de instalaciones acumuladas en Play Store antes de retiradas masivas en 2022-2023.

Ad fraud botnets (Methbot, 3ve, Migalo). Variante industrial. Botnets de miles de máquinas comprometidas que simulan clicks y vistas de anuncios para defraudar a redes publicitarias. Daño económico estimado en miles de millones de dólares colectivos. Operadores estructurados con monetización directa.

Cómo se distribuye

Vectores realistas, ordenados por frecuencia:

  • Bundles de instalación. El instalador gratuito de un convertidor de PDF incluye opciones marcadas por defecto que añaden barras de herramientas y servicios. Vector número uno en Windows desktop.
  • Falsos instaladores Flash, Java, codecs. Páginas comprometidas que muestran pop-up de "tu Flash está desactualizado". El instalador es adware o malware puro.
  • Cracks y keygens. Software pirata que llega con adware empotrado.
  • Extensiones de navegador no verificadas. Chrome Web Store y Firefox Add-ons retiran adware con frecuencia, pero la barrera de entrada es baja.
  • Apps de tienda móvil. Especialmente Android. iOS reduce el riesgo pero no lo elimina (perfiles de configuración, tiendas alternativas).
  • Malvertising. Anuncios maliciosos servidos por redes legítimas que redirigen a páginas de descarga de adware.
  • Preinstalación OEM. Hardware nuevo con software del fabricante que cae en categoría adware (caso Superfish).

Cómo se detecta y elimina

Para usuario doméstico aislado:

  1. Antivirus moderno. Microsoft Defender, Bitdefender, ESET, Malwarebytes. Las versiones gratuitas suelen ser suficientes para adware commodity.
  2. Escaneo específico antimalware. Malwarebytes Free es referencia clásica para eliminar PUP/PUA que el antivirus principal no toca.
  3. Revisión de extensiones de navegador y desinstalación de las no reconocidas.
  4. Restauración del navegador a configuración por defecto si hay browser hijacker activo.
  5. Revisión manual del registro y servicios en Windows: claves Run, tareas programadas, servicios sospechosos. Sysinternals Autoruns ayuda.
  6. Reinstalación limpia si el problema persiste tras varios intentos. En 2026 sigue siendo la respuesta defensiva más segura para casos persistentes.

Para entorno corporativo:

  1. EDR / antivirus enterprise con políticas PUA/PUP activadas. Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne incluyen detección comportamental.
  2. Política de instalación de software restrictiva. Usuarios estándar sin permisos administrativos no pueden instalar la mayoría de adware.
  3. Inventario y baseline de extensiones de navegador permitidas vía GPO/MDM.
  4. Web filtering que bloquea categorías de descarga sospechosas.
  5. Threat hunting sobre patrones de browser hijacker en logs DNS y proxy.
  6. Formación a empleados sobre instaladores gratuitos y cracks.

El adware vive en una zona gris jurídica.

  • Adware con consentimiento informado y proporcional: legal. EULAs aceptados, propósito declarado, modelo de monetización transparente.
  • Adware con consentimiento engañoso (opt-out enterrado, bundle no destacado): infracción RGPD si trata datos personales, sancionable por la AEPD. Casos archivados con multas regulares.
  • Adware sin consentimiento real: ilegal. Constituye al menos infracción del artículo 197 del Código Penal cuando recopila datos personales, además de RGPD.
  • Adware con browser hijacker o exfiltración: cruza a malware puro. Penas de 6 meses a 6 años.
  • Caso Lenovo Superfish: la FTC estadounidense sancionó por instalación sin consentimiento informado y por crear vulnerabilidad MitM. En UE habría sido sancionado adicionalmente por la AEPD y autoridades equivalentes.

Encaje con compliance

Adware en endpoints corporativos puede materializar riesgos cubiertos por marcos vigentes:

  • NIS2 (artículo 21). Protección frente a software malicioso, gestión de configuración. Adware persistente es señal de programa antimalware débil.
  • DORA (artículo 9). ICT risk management en servicios financieros. Endpoints con adware exponen credenciales y sesiones a tracking externo.
  • ISO 27001:2022 (control 8.7). Protección frente a malware. La categoría PUA/PUP entra en alcance.
  • ENS Real Decreto 311/2022 (op.exp.6). Protección frente a código dañino.
  • RGPD. Si el adware exfiltra datos personales sin base legal, infracción notificable.

Preguntas frecuentes

¿Adware es malware?

Depende de la variante. El adware legítimo declarado no es malware. El adware agresivo (PUP/PUA) está en zona gris, técnicamente molesto pero no necesariamente ilegal. El adware malicioso (browser hijacker, captura de datos, click fraud) sí es malware en sentido técnico y legal. La frontera la determinan el consentimiento real y las capacidades del binario.

¿Mi antivirus debe bloquear adware?

Los antivirus modernos detectan PUP/PUA por defecto desde aproximadamente 2018-2020. Si tu equipo muestra anuncios persistentes y el antivirus no alerta, probablemente la categoría PUA/PUP está deshabilitada en la configuración, o la variante es nueva y no clasificada. Activar bloqueo de PUA y escanear con segundo antivirus (Malwarebytes) suele resolver.

¿Cómo sé si tengo adware?

Síntomas clásicos: navegador con página de inicio o motor de búsqueda cambiados sin tu intervención, pop-ups frecuentes incluso en sitios que normalmente no los tienen, redirecciones inesperadas al hacer click, ralentización general, batería que dura menos. En móvil: notificaciones full-screen al abrir apps, suscripciones premium no autorizadas.

¿Adware en macOS o Linux es común?

macOS sí, especialmente la familia Adload. Linux desktop es minoritario y el adware es prácticamente inexistente. La idea de que "Apple es inmune" es falsa: macOS tiene su propio ecosistema de adware que Apple combate con XProtect y firma de notarización.

¿Cómo se diferencia adware de un tracker publicitario web normal?

El tracker web vive en el navegador, lo sirven sitios que visitas y se gobierna por cookies, fingerprinting y reglas de la página. Lo controla el navegador (modo incógnito, bloqueadores, privacy mode). El adware vive en el sistema operativo, persiste fuera del navegador y opera independientemente de la página visitada. La defensa contra trackers es bloqueador de anuncios y privacy mode; la defensa contra adware es antivirus y política de instalación.

¿Por qué los antivirus no eliminan todo el adware automáticamente?

Por consideraciones legales. Una parte del adware tiene EULA firmado por el usuario y el antivirus no puede asumir que la instalación es no autorizada sin riesgo de falsos positivos. La categoría PUP/PUA exige al usuario decisión activa, no automatismo. Esta es la razón por la que se requiere activación manual en algunos productos.

¿Sigue siendo Lenovo Superfish un caso aislado?

No del todo. Casos similares han aparecido posteriormente con menor impacto: HP con Conexant 2017, varios fabricantes Android con bloatware preinstalado, casos puntuales con Xiaomi y Huawei. La industria ha mejorado, pero el modelo OEM bundle sigue presente.

Recursos relacionados

  • Tipos de malware: familia más amplia donde el adware ocupa una categoría propia con frontera difusa.
  • Qué es un troyano: a veces el adware agresivo se entrega como módulo dentro de troyanos.
  • Qué es un keylogger: otra capa de software que puede llegar empotrada en bundles agresivos.
  • Qué es un EDR: control que detecta y bloquea adware en endpoint corporativo.
  • Qué es ransomware: escenario opuesto en gravedad, aunque algunas familias modernas mezclan adware y malware puro.
  • Cómo cumplir NIS2 en España: el marco que exige antimalware operativo cubriendo también PUA/PUP.

Defensa frente a adware en Secra

En Secra cubrimos el riesgo de adware como parte de la auditoría de configuración antimalware y de política de software en endpoints corporativos: revisión de configuración EDR (PUA/PUP activado, política reactivo o agresivo), política de privilegios y restricción de instalación, baseline de extensiones de navegador permitidas vía GPO/MDM, web filtering y validación empírica vía Red Team que prueba si la organización detecta installers PUP comunes. Si tu organización tiene endpoints con problemas recurrentes de rendimiento, sospechas de browser hijacker en parte de la plantilla o nunca ha revisado la política PUA/PUP de su EDR, escríbenos a través de contacto o consulta nuestros servicios gestionados.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Qué es SHA-256: función hash, usos reales y comparativa

Qué es SHA-256, cómo funciona como función hash criptográfica, propiedades, usos (TLS, Bitcoin, integridad, JWT) y comparativa con SHA-1, SHA-3 y BLAKE3.

2026-05-1112 min
defensiva

Qué es una botnet: arquitectura, ejemplos reales y cómo defenderse

Qué es una botnet, arquitecturas (C2 centralizado, P2P, Fast Flux, DGA), usos (DDoS, ad fraud, distribución), ejemplos (Mirai, Emotet, Mozi) y defensa.

2026-05-1113 min
defensiva

Qué es DLP: tipos, encaje NIS2/RGPD y errores en despliegues

Qué es DLP (Data Loss Prevention), tipos (endpoint, network, cloud, email), cómo se implanta, encaje NIS2/DORA/RGPD/ISO 27001 y errores típicos.

2026-05-1012 min