El ‘Search Engine Optimization’ (más conocido como SEO) es una fórmula usada para posicionarse en navegadores, redes sociales, etc. y poder dar visibilidad a una marca. El funcionamiento es sencillo: se abona una cantidad en forma de pago único o recurrente para, acto seguido, aparecer en buscadores como Google, o en redes sociales como puede ser LinkedIn. Los usuarios lo ven, hacen clic y entran a ver los productos o servicios de la persona que ha querido visibilizar su marca.
Pero ¿en qué consiste el SEO poisoning? Se trata de una técnica que abusa de los algoritmos para posicionar enlaces maliciosos y lanzar campañas de phishing o distribuir malware a través de webs legítimas comprometidas. Esta técnica permite personalizar las campañas contra sectores específicos adaptando las amenazas a cada víctima, por lo que es altamente peligroso. De hecho, solo en la segunda semana de noviembre de 2022 se vulneraron 15.000 webs con 20.000 archivos infectados para el uso de esta táctica.
La táctica más común es la de atraer a las víctimas con plantillas en PDF o Word, que en realidad contienen malware. Y es que, ¿quién no ha ido a Google a buscar plantillas para algún tipo de factura, trabajo o esquema para ahorrar un poco de tiempo?
Entre las campañas más importantes, destacamos BAT Loader, Got Loader y Solarmarker. Con diferentes técnicas, tratan de obtener el mismo resultado: infectar a las víctimas con contenido malicioso para robar las credenciales del usuario o desplegar ransomware (un secuestro de datos cuyo objetivo más habitual es el de pedir dinero a cambio de recuperar los mismos). La tendencia nos indica que este tipo de táctica aumentará, ya que requiere poco esfuerzo técnico y una pequeña inversión en comparación con el retorno de ésta.
El modus operandi del ciberdelincuente es buscar plataformas con múltiples vulnerabilidades, como puede ser WordPress, por ejemplo, o a través de otras plataformas CMS (Content Management System), en español, Sistema de Gestión de Contenidos. Una vez vulnerados estos lugares, lanzan sus campañas de SEO fraudulentas y únicamente les toca esperar a que las víctimas lleguen.
Además, lo tienen muy fácil, porque cuando una plataforma como Google detecta las campañas fraudulentas bloquea la página web y la ‘expulsa’ de su buscador, siendo el dueño del site el que sufre el castigo, mientras el ciberdelincuente no tiene ninguna penalización, solo tiene que buscar otra página en la que colocar su campaña fake.
Cómo nos podemos proteger
En este sentido, tenemos dos actores: creadores y usuarios. Desde el punto de vista de los creadores de contenido, la gestión de vulnerabilidades de nuestras plataformas es un requisito absolutamente imprescindible, ya que nos va a permitir proteger a nuestros usuarios además de nuestra reputación y marca.
El usuario, por su parte, tiene que mantener los navegadores actualizados con los últimos parches de seguridad y/o disponer de un filtrado de navegación segura, que es la mejor y casi única opción que hay. No obstante, el sentido común debe ser nuestro mejor aliado, si algo es gratis y fácil de encontrar, tiene muchas posibilidades de ser una trampa.
*** Rafael López es Head of Solution Architecture EMEA/LATAM en Perception Point.