Cabecera blog ciberseguridad

¿Qué es el envenenamiento SEO?

- Ciber 4 All Team

El envenenamiento SEO es una técnica maliciosa que conjuga tácticas y conocimientos de la ingeniería social con despliegue de malware

El envenenamiento SEO es una estrategia maliciosa en la que se combinan técnicas de ingeniería social y malware para cometer fraudes y atacar a empresas

¿Qué es lo primero que haces cuando necesitas obtener información sobre cualquier cuestión? Coges tu móvil o tu portátil, acudes a tu motor de búsqueda de confianza (Google, Bing…) y este te ofrece un listado con páginas web que pueden dar respuesta a tus dudas.

Los algoritmos de los motores de búsqueda clasifican todas las webs en función de una serie de parámetros. Amoldar las páginas a las características de los algoritmos es el trabajo de los especialistas en optimización para motores de búsqueda (SEO, por sus siglas en inglés). Estos profesionales son claves para, por ejemplo, conseguir que cuando una persona busque «vestido rojo de fiesta» salga la web de una determinada empresa en la primera posición.

Pero… ¿puede usarse el SEO con fines espurios? Precisamente, en eso consiste el envenenamiento SEO.

Esta tipología de ciberataque combina, como en muchos otros casos, técnicas de ingeniería social para engañar a los usuarios, con el despliegue de malware para espiar, robar información confidencial u obtener credenciales para acceder a aplicaciones sensibles como las cuentas bancarias de las víctimas.

A continuación, vamos a explicar las claves del envenenamiento SEO y la manera de evitar que esta técnica sirva para atacar a empresas y ciudadanos.

1. Las 5 fases del envenenamiento SEO

Los grupos de delincuentes que optan por el envenenamiento SEO necesitan conjugar conocimientos sobre esta disciplina y, en especial, sobre tácticas de Black Hat SEO; con tácticas propias de la ingeniería social; además de disponer de capacidad para desarrollar y ejecutar malware. ¿Cuáles son las fases de un ataque de envenenamiento SEO?

1.1. Definir la palabra clave y el target

En primer lugar, se crea una página web incluyendo tácticas clásicas del SEO como establecimiento de palabras clave que sean consultadas por el grupo de usuarios que constituye el target de los delincuentes.

El envenenamiento SEO permite a los actores maliciosos una gran libertad a la hora de definir a sus víctimas potenciales. ¿Por qué? Aunque existen búsquedas genéricas, la mayoría de las búsquedas las realizan colectivos específicos.

Por ejemplo, un portal que posicione el termino webmail asociado a una empresa puede ser un vector de infección y suplantación de identidad dirigido a los trabajadores de dicha empresa, que permita robar credenciales y lanzar ataques dirigidos.

O un modelo de contrato de confidencialidad, que no lo va a buscar un profesional que trabaja en una tienda de ropa, sino empresarios o profesionales de departamentos jurídicos de compañías. Mientras que si el objetivo son personas que invierten en criptomonedas, se puede diseñar una página focalizada en una búsqueda relacionada con esta materia.

Esto resulta fundamental, sobre todo, cuando se desea atacar a empresas de determinados sectores económicos para cometer fraudes, recopilar información u obtener credenciales para acceder a aplicaciones críticas.

1.2. Acciones de Black Hat SEO

Después, los actores maliciosos implementan acciones de Black Hat SEO, es decir, una serie de trampas para engañar a los algoritmos y conseguir posicionar una página en los primeros puestos de los motores de búsquedas, como incluir texto oculto, crear una red de enlazados artificial, usar botnets para incrementar el tráfico de una página o abusar del uso de la palabra clave.

En los últimos años, compañías como Google han implementado controles específicos para detectar las tácticas de Black Hat SEO y castigarlas excluyendo a las páginas en las que se usen. Sin embargo, en el corto plazo pueden dar buenos resultados, de ahí que sean útiles para los delincuentes.

1.3. Typosquatting

El diseño de una campaña de envenenamiento SEO se completa con la URL de la página falsa. Los delincuentes recurren a la técnica del typosquatting. Es decir, crean una URL prácticamente idéntica a la de una página legítima que el usuario conoce o en la que puede confiar, pero introducen una pequeña alteración que pasa desapercibida a simple vista. De tal manera que el usuario hará clic sin temor, porque creerá que está accediendo a una web real.

Pensemos, por ejemplo, en una persona que desea descargar un programa informático conocido y escribe su nombre en un motor de búsqueda, si los actores maliciosos han implementado una estrategia de envenenamiento SEO exitosa, la página falsa saldrá en los primeros puestos y como la URL será prácticamente igual que la de la web de descarga legítima, es probable que la víctima haga clic en ella.

1.4. Clonación estética

Junto al typosquatting nos encontramos con otra actividad clave del envenenamiento SEO que también se basa en construir una apariencia de realidad: el propio diseño de las páginas maliciosas.

En muchos casos, los delincuentes clonan páginas reales para que las víctimas no sean capaces de darse cuenta de que se encuentran en webs falsas. Así, es muy común que se replique la estética y los contenidos de e-commerce conocidos.

En este sentido, la irrupción de la IA generativa ha facilitado el trabajo de los actores hostiles que desean usar la técnica del envenenamiento SEO. ¿Por qué? Les permite crear páginas web realistas con textos bien escritos sin tener que emplear una gran cantidad de talento y tiempo en ello.

1.5. Manipular a los usuarios para que realicen una acción

¿Cuál es el último paso de la técnica del envenenamiento SEO? Inducir a la víctima a que realice una acción concreta:

  • Descargarse un documento infectado con malware creyendo que se trata del documento que está buscando o un archivo para instalar un programa legítimo, pero que en realidad sirva para instalar un malware.
  • Introducir datos personales como nombre, apellidos, email, número de teléfono e, incluso, documentos identificativos como el DNI.
  • Realizar un pago para adquirir un producto que supuestamente se comercializa en un e-commerce falso.

El envenenamiento SEO recurre a tácticas como el Black Hat SEO

2. Objetivos del envenenamiento SEO

La operativa del envenenamiento SEO nos permite vislumbrar que esta técnica delictiva puede afectar a:

  • Usuarios que realizan búsquedas a través de Google, Bing o cualquier otro motor de búsqueda.
  • Empresas cuyos profesionales descarguen sin querer malware en sus equipos corporativos o faciliten credenciales de acceso a programas de uso profesional.
  • Organizaciones cuya identidad es suplantada para engañar a las víctimas.

¿Qué buscan los actores maliciosos que optan por el envenenamiento SEO?

  • Desplegar diferentes tipos de malware. Es el objetivo por antonomasia del envenenamiento SEO. A través de las webs maliciosas posicionadas de manera fraudulenta, los delincuentes son capaces de inyectar múltiples tipos de malware en los equipos de las víctimas: troyanos, spywares, ransomwares… Gracias a ellos pueden espiar a sus víctimas, secuestrar los datos de los clientes de las empresas, obtener información crítica, entrar en cuentas bancarias, drenar carteras de criptomonedas…
  • Robar credenciales para acceder a aplicaciones. Si la página maliciosa simula ser una aplicación web legítima que emplea el usuario, se puede conseguir que facilite sus credenciales de acceso.
  • Cometer fraudes económicos, consiguiendo que el usuario realice pagos u obteniendo información clave para llevar a cabo futuros ataques.
  • Dañar la reputación de las compañías. Las empresas cuya identidad es suplantada sufren un menoscabo de su reputación ante los usuarios afectados por el envenenamiento SEO.

3. Perfeccionando el envenenamiento SEO

Aunque los principales motores de búsqueda cuentan con controles de seguridad para evitar que a los usuarios se les muestren resultados maliciosos, los grupos de delincuentes han ido perfeccionando la técnica de envenenamiento SEO para conseguir evadir estos controles, lograr engañar a los usuarios y batir los sistemas defensivos de las empresas.

Al fin y al cabo, como ya hemos señalado otras veces, la historia de la ciberseguridad se sustenta sobre el desarrollo continuo de nuevas técnicas, tácticas y procedimientos (TTP) por parte de los delincuentes y en el esfuerzo de los expertos en ciberseguridad por detectarlos, comprenderlos y poner en marcha los mecanismos necesarios para que dejen de ser eficaces.

3.1. Documentos empresariales, malware de vanguardia y foros fake

El año pasado, se hizo pública una campaña puesta en marcha por un grupo delictivo con un largo historial en el desarrollo y ejecución de malware: Gootloader. Los delincuentes recurrieron al envenenamiento SEO para infectar a redes corporativas usando una variante más sofisticada de su programa malicioso: Gootbot. La operativa era la siguiente:

  1. Crearon un foro falso para atraer a personas que buscaban modelos de documentos empresariales. Mediante las tácticas que vimos antes, lograron que el foro apareciese en los primeros resultados al buscar palabras clave como «Implied Employment Agreement».
  2. Las víctimas accedían al foro para descargar el archivo que deseaban, sin embargo, al hacerlo ejecutaban en su equipo el malware de Gootloader.
  3. Este programa malicioso era capaz de expandirse por toda la red, facilitando el movimiento lateral de los actores maliciosos, pasando desapercibido para los escáneres antivirus y permitiendo atacar a múltiples sistemas.

3.2. Apoderarse de un CMS obsoleto para explotar dominios legítimos

A comienzos de 2024 se detectó una nueva campaña de envenenamiento SEO que va un paso más allá en las prácticas habituales de los delincuentes. ¿Por qué? Los actores maliciosos detrás de esta campaña no suplantaron la identidad de empresas e instituciones a través del typosquatting o la clonación de páginas, sino que usaron FCKeditor, un componente de CMS obsoleto desde 2010, para:

  • Realizar redirecciones hacia páginas fraudulentas.
  • Crear páginas dentro de dominios legítimos de organizaciones que en su día usaron este editor, lograr que se posicionen en los buscadores y redirigirlas hacia las URLs maliciosas.

Mediante esta estrategia de envenenamiento SEO, los delincuentes han podido superar los controles de seguridad que los motores de búsqueda han implementado para combatir estas prácticas delictivas.

Entre las organizaciones afectadas se encuentran dos de los centros educativos y de investigación más prestigiosos del mundo, el MIT y la Columbia University, o una de las universidades de referencia en España: la Universitat de Barcelona.

Si estas instituciones no siguiesen empleando un software que lleva obsoleto casi tres lustros, los delincuentes no habrían podido implementar con éxito esta campaña de envenenamiento SEO.

La ciberinteligencia es esencial para luchar contra los ciberataques más sofisticados

4. Antídotos de ciberseguridad frente al envenenamiento SEO

¿Cómo se puede luchar contra el envenenamiento SEO? Los servicios de ciberseguridad y ciberinteligencia son esenciales para detectar páginas falsas que suplantan la identidad de empresas, formar y concienciar a los profesionales para evitar ataques de ingeniería social y disponer de las herramientas necesarias para responder ante un ataque de malware de manera eficaz. ¿De qué servicios hablamos?

  • Servicios de ciberinteligencia para mantener una vigilancia digital continua y prevenir el fraude y la piratería online. De tal forma que se puedan detectar y combatir campañas de phishing y webs que suplantan identidades y marcas corporativas.
  • Test de ingeniería social que permitan evaluar el nivel de madurez de una compañía y sus profesionales ante los ataques que emplean ingeniería social, a la vez que contribuyen a formar y concienciar a todos los miembros de una organización para evitar los fraudes y el robo de información crítica.
  • Respuesta a incidentes. ¿Qué pasa si la estrategia de envenenamiento SEO tiene éxito y los ciberdelincuentes consiguen desplegar malware en una red corporativa u obtener credenciales de acceso o información para lanzar otros ataques? Es fundamental que las organizaciones dispongan de equipos preparados para responder a un ataque en menos de 1 hora. Así, se podrá identificar el alcance del compromiso con celeridad, contener el ataque, expulsar al actor malicioso y restablecer la normalidad en el menor tiempo posible y de manera segura para minimizar las consecuencias del incidente.

En definitiva, el envenenamiento SEO es una estrategia maliciosa que permite a los delincuentes encontrar un vector de entrada para atacar a empresas y ciudadanos, combinando técnicas de ingeniería social con el uso de malware. Todo ello, sacándole partido a uno de nuestros hábitos diarios que tenemos más interiorizados: buscar la información, los productos y los documentos que necesitamos a través de los motores de búsqueda.