Los hackers tienen diversas formas de engañar a los usuarios, robar información personal y contraseñas. Pueden recurrir a tácticas como el Phishing, entre otras. También intentan que las personas descarguen aplicaciones fraudulentas o archivos que envían por correo electrónico y otros medios. En este artículo, nos enfocaremos en describir qué es el SEO poisoning, una técnica que se ha vuelto muy común y representa un gran riesgo.
Te explicaremos qué implica esta técnica, por qué es utilizada por los cibercriminales y cómo puedes protegerte para evitar caer en sus trampas. El objetivo es que puedas mantener tu seguridad en todo momento y no facilitarle la vida a los hackers. También se le conoce como envenenamiento de motores de búsqueda.
Definición
El SEO poisoning es un método en el que los ciberdelincuentes alteran los resultados de búsqueda en motores como Google o Bing. Su intención es que sus páginas maliciosas ocupen las primeras posiciones en las búsquedas. Aunque estos servicios implementan medidas de seguridad para impedirlo, a veces logran eludirlas.
Por ejemplo, si una persona busca una aplicación de red social, como Facebook, puede acudir a Google y encontrarse con un resultado de un sitio que parece legítimo, pero que en realidad es un engaño. Al hacer clic y acceder a ese sitio, se le presentará un archivo para descargar que contendrá malware.
Este mismo riesgo se presenta con tiendas online falsas que imitan a Amazon, así como páginas fraudulentas que aparentan ser Netflix, YouTube, etc. Las posibilidades son numerosas. Sin embargo, lo habitual es que los atacantes utilicen la técnica de SEO poisoning creando sitios que compitan de manera general y no directamente contra una marca específica. Suplantar la web de Amazon, por ejemplo, es complicado, pero podrían crear una página falsa para vender productos específicos que aparezcan en los resultados de búsqueda al buscar términos concretos.
Identificación de sitios con SEO poisoning
| Elemento a Verificar | Indicador de Sitio Legítimo | Indicador de Sitio Envenenado (Alerta Roja) |
|---|---|---|
| Dominio (URL) | Coincide exactamente con la marca oficial (ej: adobe.com). | Variaciones sutiles, guiones o TLDs extraños (ej: ad0be-descarga-segura.com). |
| Certificado SSL/TLS | Emitido por una entidad reconocida (DigiCert, Sectigo, Let’s Encrypt) y válido para el dominio principal. | Autofirmado, de un emisor desconocido o con advertencias del navegador. |
| Calidad del Contenido | Redacción profesional, sin errores gramaticales graves. Diseño consistente. | Traducciones automáticas evidentes, errores de sintaxis, diseño pobre o copiado. |
| Comportamiento del Sitio | Navegación fluida y lógica. | Pop-ups agresivos, redirecciones inesperadas, solicitudes de descarga inmediatas. |
Riesgos Asociados
La razón por la que esto es tan peligroso es la gran confianza que se tiene en los motores de búsqueda. Cuando un atacante envía un correo electrónico falso con un enlace de Phishing, es menos probable que tenga éxito, ya que la posible víctima es más cautelosa y sabe que puede recibir archivos o enlaces peligrosos a través del e-mail. En cambio, si realiza una búsqueda en Google y se encuentra con un resultado destacado, tiende a asumir que es legítimo.
Además, los cibercriminales frecuentemente utilizan páginas relevantes y actuales. Por ejemplo, el comercio electrónico es un área en la que están muy activos, aprovechando la oportunidad para crear sitios que simulen ser plataformas de compra o pago por servicios específicos.
Según McAfee, uno de los antivirus más conocidos, advierten sobre este problema en su página web, donde señalan que un ataque de este tipo puede resultar en infección por malware, robo de datos confidenciales o incluso dañar la reputación de las organizaciones. INCIBE, el Instituto Nacional de Ciberseguridad de España, informa que esta estrategia ha sido utilizada para diseminar malware como SolarMarker, que tiene la capacidad de robar información sensible o permitir que un atacante tome el control del sistema.
El malware SolarMarker es un ejemplo emblemático de SEO poisoning. Su modus operandi consistía en crear múltiples páginas web llenas de palabras clave sobre manuales de negocio y plantillas de documentos. Estas páginas se posicionaban en Google para búsquedas muy específicas. Cuando un usuario descargaba lo que parecía ser un PDF, en realidad ejecutaba un instalador que desplegaba el malware, capaz de robar credenciales bancarias y de navegadores. Este caso ilustra cómo los atacantes aprovechan la confianza en Google para propagar amenazas avanzadas, eludiendo las defensas tradicionales.
Medidas de Protección
| Nº | Acción Preventiva | Herramienta Recomendada | Completado |
|---|---|---|---|
| 1 | Verificar siempre la autenticidad del dominio antes de ingresar datos. | Revisión manual de la URL, consulta en Who.is | ☐ |
| 2 | Utilizar un gestor de contraseñas con autocompletado. | Bitwarden, 1Password. No autocompletarán en dominios falsos. | ☐ |
| 3 | Analizar URLs acortadas o sospechosas antes de hacer clic. | ExpandURL, urlscan.io | ☐ |
| 4 | Mantener el navegador y las extensiones de seguridad siempre actualizados. | Actualizaciones automáticas de Chrome/Firefox + uBlock Origin | ☐ |
| 5 | Escanear todos los archivos descargados de fuentes no oficiales. | VirusTotal.com | ☐ |
Para evitar situaciones de este tipo, es fundamental mantener el sentido común. Si vas a descargar un programa, asegúrate de estar en la página oficial y no en una falsa. Observa el dominio, el diseño general y, en definitiva, todos los aspectos que componen ese sitio web. Comprobar si un enlace es fiable es vital.
Si tienes dudas sobre un enlace en los resultados de búsqueda, sigue estos pasos:
- Verifica la antigüedad y propiedad del dominio: Usa herramientas como Who.is. Un dominio registrado hace poco tiempo para una marca supuestamente establecida es una gran señal de alerta.
- Analiza la URL en un sandbox: Antes de hacer clic, copia la dirección del enlace y analízala con urlscan.io. Te mostrará una captura de la página y las tecnologías que utiliza sin poner en riesgo tu equipo.
- Consulta la reputación del sitio: Utiliza el Informe de Transparencia de Google Safe Browsing para verificar si el dominio ha sido marcado como peligroso.
- Escanea cualquier descarga antes de ejecutarla: Si llegas a descargar un archivo, súbelo a VirusTotal. Analizará el archivo con múltiples motores de antivirus.
También es recomendable seguir prácticas generales, como contar con un buen antivirus y tener siempre actualizadas las versiones de tu sistema operativo y de cualquier aplicación que utilices.
Preguntas frecuentes
¿Qué tipo de páginas falsas pueden posicionar en Google?
Generalmente, sitios para descargar aplicaciones, a menudo programas piratas o gratuitos que actúan como cebo. También tiendas online.
¿Me protege un antivirus?
Tener un antivirus es crucial. Sin embargo, no te protegerá de todos los tipos de ataques. Por ejemplo, podrías ser víctima de un ataque de Phishing y poner tus datos donde no debes.
¿Afecta a todos los buscadores?
Este problema puede impactar a cualquier buscador, incluyendo algunos de los más conocidos, como Google o Bing.
