Buscar ofertas de ordenador con motivo del Cyber Monday, visitar un ecommerce fraudulento y ser infectado por virus, malwares y archivos tan destructivos como ransomware: la responsabilidad inicial de este desenlace debe descargarse en buscadores como Bing, Yahoo! o Google, que pese a eliminar de sus SERPs millones de webs dedicadas al spamming y la ciberdelincuencia, continúan siendo un colador para estas y otras amenazas en Internet.

Dentro de ciertos límites, este fenómeno se conoce como envenenamiento SEO, una técnica que bebe de las metodologías del black hat para infectar a usuarios y perjudicar a webs legítimas. Con ello, se persiguen diversos objetivos: desde introducir un simple troyano en el PC de un consumidor o sustraer su información bancaria, hasta perjudicar a un competidor directo en Google o secuestrar sus equipos informáticos por medio de un malware extorsionador.

Envenenando la búsqueda online: así funciona el SEO Poisoning

En concreto, el envenenamiento de posicionamiento SEO se conoce entre los entendidos como SEP (las siglas de Search Engine Poisoning, variante del consabido Search Engine Optimization o SEO), y alude a dos prácticas distintas que conviene diferenciar:

(1) el conjunto de prácticas ilícitas empleadas para alcanzar un posicionamiento elevado en los rankings del buscador, con el objetivo de atacar a los visitantes mediante la suplantación de identidad, el spamming, etcétera;

(2) en menor medida, la búsqueda de debilidades en sitios web con un alto posicionamiento, para usarlos como canal de difusión de malwares, troyanos y otros archivos maliciosos.

Por necesaria que sea esta desambiguación, el envenenamiento SEO adopta en la mayoría de los casos la primera forma, siendo una estrategia de ciberdelincuencia que se basa en la creación de webs fraudulentas para atraer visitas orgánicas con la ‘complicidad’ de Google y otros motores de búsqueda. Para lograr este objetivo, recurren a todas las artimañas de ‘sombrero negro’ existentes: misspelled keywords, granjas de enlaces, textos ocultos, relleno de palabras clave o cloaking, entre otras prácticas que acarrean fuertes penalizaciones de Google.

Hasta aquí, se observan claras diferencias con un ‘pariente’ lejano de esta técnica, el SEO negativo. En primer lugar, la finalidad de este último es perjudicar el posicionamiento de búsqueda de rivales comerciales, no usar las mismas para atacar a los usuarios; en segundo lugar, el envenenamiento SEO depende de la creación de páginas fake, y si bien recurre al envío de enlaces tóxicos, tienen la finalidad de manipular las SERPs, no de infringir un daño a las posiciones de búsqueda de terceros —aunque bien puede recurrirse a esta estratagema como parte del SEP.

Para clarificar las características de envenenamiento SEO, expondremos el siguiente ejemplo: un grupo de ciberdelincuentes, aprovechando el tirón comercial del Black Friday, desarrollan portales y tiendas online relacionadas con la temporada de compras navideñas, nutriéndolas después de contenido y recursos valiosos para los visitantes (consejos para comprar, recetas culinarias, ebooks gratuitos, etc.) que bien carecen de valor real, bien fueron robados de sus legítimos propietarios. En determinados casos, los delincuentes clonan tiendas reconocidas, para suplantar su identidad y así engañar más fácilmente al usuario. Como sea, el objetivo continúa siendo sustraer datos personales o infectar ordenadores con archivos dañinos.

Del mismo modo que el posicionamiento orgánico puede manipularse para atacar a los usuarios, las plataformas dedicadas al SEM (Google Ads, Bing Ads, Outbrain, etc.) entran igualmente en el campo de acción de los ciberdelincuentes. Según reveló un artículo de Panda Media Center, grupos de hackers se sirven de los anuncios de Google para suplantar la identidad de Amazon, PayPal, eBay y otras grandes empresas, con el fin de obtener las cuentas de los usuarios. Estos ciberdelincuentes logran la visibilidad necesaria invirtiendo en anuncios display, de modo que ‘sobornan’ al buscador para equiparar sus anuncios fraudulentos a los reales.

Backlinks tóxicos, uno de los efectos negativos del envenenamiento SEO

Dentro de las tácticas habituales en el envenenamiento de marketing SEO, los hackers recurren con frecuencia al envío masivo de backlinks tóxico o venenosos, así denominados por su impacto negativo en los indicadores del dominio web y en la clasificación de resultados orgánicos. Estos enlaces provienen de fuentes previamente penalizadas por Google, dedicadas al spamming o envueltas en otras actividades ilegales. Para cualquier empresa o publicación, ser apuntado por estos enlaces aumenta el riesgo de sufrir un downgrade en las SERPs, ya que ponen en alerta al algoritmo de Google.

Lo anterior se entenderá mejor con ayuda del siguiente ejemplo: la hipotética empresa ‘DisfracesDina.es’ ostenta un mejor posicionamiento en las SERPs que varias webs fraudulentas que pretenden utilizar el SEO para atacar a los usuarios interesados en búsquedas relacionadas con Halloween. Entre otras prácticas, crean hipervínculos hacia ‘DisfracesDina.es’ desde webs de pésima calidad y peor reputación, que en muchos casos fueron desindexadas de Google y que, por tanto, engrosan su particular blacklist. ¿El resultado? Que ‘DisfracesDina.es’ pierde un valioso posicionamiento en beneficio de los atacantes y en perjuicio de los consumidores que clicarán en sus resultados fakes antes que en los legítimos de aquella.

Con este ardid, los ciberdelincuentes manipulan los resultados de búsqueda, vulnerando uno de los pilares de las Directrices para Webmasters de Google, donde se subraya que «la mejor forma de conseguir que otros sitios creen enlaces relevantes de alta calidad hacia el tuyo es generar contenido único y relevante que naturalmente pueda ganar popularidad en Internet», ya que «los enlaces suelen ser votos editoriales dados por elección, y cuanto más útil sea tu contenido, mayores serán las posibilidades de que otros encuentren ese contenido para sus lectores y lo enlace».

Aparte de este link building malintencionado, la actividad de los hackers perjudica a usuarios y webmasters de otros modos, como la sustracción de información sensible. Esta abarca desde las credenciales de acceso a redes sociales y los datos personales de cuentas bancarias y de ewallets, hasta las claves de autentificación de redes.

Incluso el personal de las empresas puede verse afectado por las malas artes de los promotores del envenenamiento SEO. Los equipos informáticos, pese a los avances en softwares de protección contra virus y malwares, continúan siendo vulnerables a la acción de ransomware, un programa dañino capaz de inutilizar sistemas y bases de datos restringiendo el acceso y extorsionando a sus administradores a cambio de su eliminación

Un antídoto contra el envenenamiento SEO: ¿cómo defenderse de esta amenaza?

Para combatir el envenenamiento en marketing digital, la prevención demuestra ser un arma eficaz. Cuando el posicionamiento de búsqueda empieza a verse comprometido por webs advenedizas de dudosa legalidad, las empresas afectadas deben tomar la iniciativa y denunciar toda actividad ilícita en las SERPs ante una autoridad como Google.

En este sentido, el buscador propiedad de Alphabet pone a disposición de los webmasters al menos dos recursos útiles. En primer lugar, la solicitud de retirada de contenido de Google y de cualquiera de sus servicios vinculados (Maps, Ads, Shopping, Play, etcétera), a través de un formulario web disponible en el departamento ‘Ayuda de Legal’.

En segundo lugar, la posibilidad de informar de resultados inusuales en las SERPs o de contenidos maliciosos que contravengan la legalidad. Este recurso, igualmente disponible en ‘Ayuda de Legal’, se utiliza habitualmente para presentar reclamaciones DMCA pero también demuestran ser útiles para alertar de phishing y otras amenazas para usuarios y empresas.

Un tercer ‘antídoto’ contra el envenenamiento SEO es la desautorización de enlaces, útil en caso de recibir múltiples backlinks tóxicos que puedan estar infligiendo un daño tangible al posicionamiento. En concreto, Google ofrece este recurso cuando «se han detectado enlaces artificiales a él en otros sitios web, o si crees que está a punto de recibir una debido a enlaces de pago o esquemas de enlaces que infringen nuestras directrices de calidad».

Adicionalmente, las empresas deben implementar soluciones que fortalezcan la seguridad en sus equipos informáticos. Prioritaria es la implementación de antivirus y antimalwares corporativos como Mcafee, Kaspersky Security o Panda Protection Service, además de alternativas gratuitas como Windows Defender, FortiClient o AVG. Los servidores de correo no debería quedar fuera de este ‘blindaje’, y por ello se recomienda instalar GravityZone Security de Bitdefender o Mail Essentials de GFI Software.

Por otra parte, la creación de contraseñas fuertes aporta una capa adicional de seguridad a las credenciales de acceso a CMS, servidores de correo y otros softwares utilizados por los recursos humanos. Igualmente, deben desactivarse la opción de ‘recordar contraseña’ en todos los navegadores y servicios relacionados con la actividad de la empresa. Dado que no existe la infalibilidad en sistemas y pautas de seguridad, realizar copias de seguridad 3-2-1 o similar prevenir que un posible ataque de ransomware inutilice archivos críticos para la actividad del negocio por tiempo ilimitado.

Desde la perspectiva del usuario, el SEO poisoning es perfectamente evitable, debiendo para ello actualizar su navegador y su sistema operativo con regularidad. Diferenciar los sitios maliciosos de los normales y legítimos supone una ayuda indispensable durante la navegación por Internet. En este sentido, los internautas deben acostumbrarse a revisar la barra de direcciones al acceder a sitios web desconocidos, abandonando aquellos que carezcan de protocolos HTTPS ni de certificado SSL (un candado verde o similar evidencia la presencia de estos elementos de seguridad).