Autores
Al analizar el contenido de los sitios web para determinar a qué categoría pertenece su contenido, a veces obtenemos resultados inesperados. Por ejemplo, el sitio web en sí mismo (podría ser la página oficial de un fabricante de construcciones metálicas, una florería en línea o, digamos, el sitio web de un bufete de abogados) tiene un contenido neutro, pero nuestras soluciones lo clasifican como “Contenido para adultos”. A simple vista, no está claro cuál ha sido la causa de la detección, pero si vemos el log con el resultado del análisis de la página realizado por el motor de categorización de contenidos, la situación se aclara.
Bloque HTML invisible, o spam SEO
El sitio entra en la categoría de “dudoso” porque contiene un bloque HTML, invisible para los usuarios comunes, con enlaces a sitios de terceros. Por regla general, cada sitio está asociado a temas concretos (en nuestra práctica, los más frecuentes son contenidos pornográficos y de juegos de azar), y el bloque oculto contiene palabras clave relevantes además de enlaces. Tales manipulaciones son uno de los tipos de “SEO de sombrero negro” (Black-hat SEO), o spam SEO, que consiste en manipular la clasificación de los recursos web en los resultados de búsqueda, burlando los principios del posicionamiento ético de los motores de búsqueda (SEO). Aunque existen muchas técnicas mediante las cuales los atacantes hacen subir o bajar los sitios en el ranking de los buscadores, en el último tiempo nos hemos topado más a menudo con los bloques ocultos, por lo que en este artículo nos centraremos en ellos.
En general, los propietarios de los sitios ni siquiera son conscientes del problema hasta que aparecen consecuencias negativas evidentes: una caída brusca del tráfico, advertencias de los motores de búsqueda o quejas de los visitantes. Si el propietario utiliza soluciones de Kaspersky, el que se bloquee un sitio por haber quedado clasificado en una categoría prohibida también puede ser señal de que algo anda mal. Nuestro motor detecta tanto los enlaces como sus descripciones, presentes en dicho bloqueo.
Cómo funcionan los enlaces (hidden links)
Los hipervínculos que son invisibles para los usuarios comunes pero que pueden ser escaneados por diversos sistemas de análisis, como los motores de búsqueda o nuestra categorización web, se denominan “enlaces ocultos” (hidden links). A menudo, los delincuentes los utilizan con fines fraudulentos, para inflar de forma artificial la clasificación (posición en los motores de búsqueda) de su sitio o para bajar la clasificación del sitio de la víctima.
Para entender cómo funciona esto, primero veamos cómo opera el SEO moderno en general. El posicionamiento de los sitios en los resultados de búsqueda, por ejemplo en Google, está a cargo de un conjunto de algoritmos. El más antiguo y relevante para este artículo se llama PageRank. La puntuación PageRank, o el peso dentro de este algoritmo, es un valor numérico que determina la “importancia” de una página en particular. Cuantos más enlaces de otros sitios lleven a la página y cuanto mayor sea el peso de estos sitios, mayor será el PageRank de la página.
En consecuencia, con el fin de mejorar el posicionamiento de su recurso en el motor de búsqueda, el atacante coloca enlaces ocultos hacia él en el sitio de la víctima. Cuanto mayor sea el PageRank del sitio, más atractivo será para el atacante. En particular, resultan de interés para los atacantes las plataformas con alto tráfico, como blogs o foros.
Cabe señalar que hoy en día PageRank no es el único parámetro que los motores de búsqueda toman en cuenta para calcular el valor de un sitio. Google también utiliza otros algoritmos, como RankBrain, basado en inteligencia artificial, o el modelo lingüístico BERT. Estos sistemas utilizan métricas más sofisticadas, como la Autoridad de Dominio (lo “competente” que es un sitio para responder a la pregunta que hace un usuario), la calidad de los enlaces y el contexto. Colocar enlaces en un sitio con un PageRank alto puede resultar beneficioso, pero el efecto de esas manipulaciones está muy limitado por los algoritmos y filtros mejorados, diseñados para bajar el ranking de los recursos que infringen las normas del buscador. Entre estos filtros se encuentran, por ejemplo:
- Google Penguin, que detecta y “penaliza” los sitios que utilizan enlaces de baja calidad o que intentan manipulaciones, incluidos enlaces ocultos, para mejorar su propia clasificación. Cuando se reconocen tales enlaces, se puede restablecer su peso a cero y bajar la clasificación de ambos recursos (sitio víctima y spam).
- Google Panda, que evalúa la calidad del contenido. Si el PageRank de un sitio es alto, pero el contenido es de baja calidad, duplicado, generado, etc., puede bajar de categoría.
- Google SpamBrain, que analiza el marcado HTML, el diseño de las páginas, etc. mediante aprendizaje automático e identifica patrones de manipulación. Este algoritmo está integrado en Google Penguin.
Qué aspecto tiene un bloque de SEO de sombrero negro en el código HTML de una página
Veamos ejemplos reales de bloques ocultos que hemos encontrado en sitios legítimos y definamos los atributos que pueden utilizarse para identificarlos.
Ejemplo 1
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
<div style="display: none;"> افلام سكس اعتصاب <a href="https://www.azcorts.com/" rel="dofollow" target="_self">azcorts.com</a> قنوات جنسية free indian porn com <a href="https://porngun.mobi" target="_self">porngun.mobi</a> xharmaster 石原莉紅 <a href="https://javclips.mobi/" target="_blank" title="javclips.mobi">javclips.mobi</a> ちっぱい bank porn <a href="https://pimpmpegs.net" target="_self" title="pimpmpegs.net free video porn">pimpmpegs.net</a> wwwporm salamat lyrics tagalog <a href="https://www.teleseryeone.com/" target="_blank" title="teleseryeone.com sandro marcos alexa miro">teleseryeone.com</a> play desi </div> <div style="display: none;"> كسى بيوجعنى <a href="https://www.sexdejt.org/" rel="dofollow">sexdejt.org</a> سكس سانى indian sex video bp <a href="https://directorio-porno.com/" rel="dofollow" target="_self" title="directorio-porno.com">directorio-porno.com</a> xvideos indian pussy swara bhaskar porn <a href="https://greenporn.mobi" title="greenporn.mobi lesbian porn hq">greenporn.mobi</a> kannada sexy video bp sex full <a href="https://tubepornmix.info" target="_blank" title="tubepornmix.info aloha tube porn video">tubepornmix.info</a> lily sex pinayflix pamasahe <a href="https://www.gmateleserye.com/" rel="dofollow" target="_blank">gmateleserye.com</a> family feud november 17 </div> <div style="display: none;"> sunny leone ki bp download <a href="https://eroebony.info" target="_self" title="eroebony.info">eroebony.info</a> hansika xvideos موقع سكس ايطالى <a href="https://bibshe.com/" target="_self" title="bibshe.com سكس العادة السرية">bibshe.com</a> صور احلى كس raja rani coupon result <a href="https://booketube.mobi" rel="dofollow">booketube.mobi</a> exercise sex videos indianbadwap <a href="https://likeporn.mobi" rel="dofollow" target="_blank" title="likeporn.mobi free hd porn">likeporn.mobi</a> rabi pirzada nude video marathi porn vidio <a href="https://rajwap.biz" rel="dofollow" target="_blank" title="rajwap.biz">rajwap.biz</a> www.livesex.com </div> |
Otro signo de SEO de sombrero negro en el ejemplo es el atributo rel="dofollow". Su tarea es indicar a los motores de búsqueda que el enlace es link juice (que transmite valor o autoridad). Los spammers ponen este atributo con el objetivo específico de transferir valor desde el sitio de la víctima a los recursos promocionados. En la práctica habitual, los webmasters pueden, por el contrario, utilizar rel="nofollow", lo que significa que la presencia de un enlace en el sitio no debe afectar la calificación del recurso al que conduce.
Así, la combinación de un bloque oculto ( display: none;) y un conjunto de enlaces externos pornográficos (en este caso) con el atributo rel="dofollow" es una señal inequívoca de la inyección de spam SEO.
Cabe destacar que todas las secciones <div> están concentradas en un solo lugar, al final de la página, en lugar de estar dispersas por todo su código. Este bloque muestra el enfoque clásico del SEO de sombrero negro.
Ejemplo 2
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
<div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">سكس انجليز <a href="https://wfporn.com/" target="_self" title="wfporn.com افلام سحاق مترجم">wfporn.com</a> سكس كلاسيك مترجم</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">فيلم سكس <a href="https://www.keep-porn.com/" rel="dofollow" target="_blank">keep-porn.com</a> سكس هندى اغتصاب</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">desi nude tumbler <a href="https://www.desixxxv.net" title="desixxxv.net free hd porn video">desixxxv.net</a> kanpur sexy video</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">www wap sex video com <a href="https://pornorado.mobi" target="_self">pornorado.mobi</a> sexy film video mp4</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">mom yes porn please <a href="https://www.movsmo.net/" rel="dofollow" title="movsmo.net">movsmo.net</a> yes porn please brazzers</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">xxx download hd <a href="https://fuxee.mobi" title="fuxee.mobi">fuxee.mobi</a> fat woman sex</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">bangalore xxx <a href="https://bigassporntrends.com" rel="dofollow" target="_self" title="bigassporntrends.com">bigassporntrends.com</a> sexy video kashmir</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">xnxx sister sex <a href="https://wetwap.info" rel="dofollow" target="_self" title="wetwap.info hd porn streaming">wetwap.info</a> blue film a video</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">tamilschoolsexvideo <a href="https://tubetria.mobi" rel="dofollow" title="tubetria.mobi">tubetria.mobi</a> sex free videos</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">سكس من اجل المال مترجم <a href="https://www.yesexyporn.com/" title="yesexyporn.com فوائد لحس الكس">yesexyporn.com</a> نسوان شرميط</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">kamapishi <a href="https://desisexy.org/" target="_blank" title="desisexy.org free porn gay hd online">desisexy.org</a> savita bhabhi xvideo</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">aflamk2 <a href="https://www.pornvideoswatch.net/" target="_self" title="pornvideoswatch.net">pornvideoswatch.net</a> نيك ثمينات</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">hentaifox futanari <a href="https://www.hentaitale.net/" target="_blank" title="hentaitale.net pisuhame">hentaitale.net</a> hen hentai</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">video sexy wallpaper <a href="https://povporntrends.com" target="_blank">povporntrends.com</a> bengolibf</div> <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">persona 5 hentai manga <a href="https://www.younghentai.net/" rel="dofollow" target="_self" title="younghentai.net oni hentai">younghentai.net</a> toys hentai</div> |
Ahora, desglosemos el conjunto de estilos CSS <div style="overflow: auto; position: absolute; height: 0pt; width: 0pt;">. Las propiedades position: absolute; height: 0pt; width: 0pt; ocultan el bloque del área visible de la página, y overflow: auto impide que el contenido se muestre aunque supere las dimensiones cero. Esto hace que los enlaces sean inaccesibles para los humanos, pero no impide que se almacenen DOM (Document Object Model), por lo que los sistemas de rastreo de código HTML, como los motores de búsqueda, pueden detectarlos.
Además del tamaño cero de los bloques, en este ejemplo, como en el anterior, vemos el atributo rel="dofollow", así como muchos enlaces a sitios pornográficos con las palabras clave correspondientes.
La combinación de estilos que devuelve a cero el tamaño del bloque es menos obvia que display: none;, ya que el elemento está presente en el renderizado, aunque no sea visible para el usuario. No obstante, cabe señalar que los algoritmos modernos de protección de los motores de búsqueda, como Google Penguin, también detectan esta técnica. Por lo tanto, los atacantes pueden utilizar técnicas más sofisticadas para eludir la detección. Veamos otro ejemplo:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
<script src="files/layout/js/slider3d.js?v=0d6651e2"></script><script src="files/layout/js/layout.js?v=51a52ad1"></script> <style type="text/css">.ads-gold {height: 280px;overflow: auto;color: transparent;}.ads-gold::-webkit-scrollbar { display: none;}.ads-gold a {color: transparent;}.ads-gold {font-size: 10px;}.ads-gold {height: 0px;overflow: hidden;}</style> <div class="ads-gold"> Ganhe Rápido nos Jogos Populares do Cassino Online <a href="https://580-bet.com" target="_blank">580bet</a> Cassino <a href="https://bet-7k.com" target="_blank">bet 7k</a>: Diversão e Grandes Vitórias Esperam por Você Aposte e Vença no Cassino <a href="https://leao-88.com" target="_blank">leao</a> – Jogos Fáceis e Populares Jogos Populares e Grandes Prêmios no Cassino Online <a href="https://luck-2.com" target="_blank">luck 2</a> Descubra os Jogos Mais Populares no Cassino <a href="https://john-bet.com" target="_blank">john bet</a> e Ganhe <a href="https://7755-bet.com" target="_blank">7755 bet</a>: Apostas Fáceis, Grandes Oportunidades de Vitória Jogue no Cassino Online <a href="https://cbet-88.com" target="_blank">cbet</a> e Aumente suas Chances de Ganhar Ganhe Prêmios Incríveis com Jogos Populares no Cassino <a href="https://bet7-88.com" target="_blank">bet7</a> Cassino <a href="https://pk55-88.com" target="_blank">pk55</a>: Onde a Sorte Está ao Seu Lado Experimente o Cassino <a href="https://8800-bet.com" target="_blank">8800 bet</a> e Ganhe com Jogos Populares Ganhe Facilmente no Cassino Online <a href="https://doce-88.com" target="_blank">doce</a> Aposte e Vença no Cassino <a href="https://bet-4-br.com" target="_blank">bet 4</a> Jogos Populares e Grandes Premiações na <a href="https://f12--bet.com" target="_blank">f12bet</a> Descubra a Diversão e Vitória no Cassino <a href="https://bet-7-br.com" target="_blank">bet7</a> Aposte nos Jogos Mais Populares do Cassino <a href="https://ggbet-88.com" target="_blank">ggbet</a> Ganhe Prêmios Rápidos no Cassino Online <a href="https://bet77-88.com" target="_blank">bet77</a> Jogos Fáceis e Rápidos no Cassino <a href="https://mrbet-88.com" target="_blank">mrbet</a> Jogue e Ganhe com Facilidade no Cassino <a href="https://bet61-88.com" target="_blank">bet61</a> Cassino <a href="https://tvbet-88.com" target="_blank">tvbet</a>: Onde a Sorte Está Ao Seu Lado Aposte nos Melhores Jogos do Cassino Online <a href="https://pgwin-88.com" target="_blank">pgwin</a> Ganhe Grande no Cassino <a href="https://today-88.com" target="_blank">today</a> com Jogos Populares Cassino <a href="https://fuwin-88.com" target="_blank">fuwin</a>: Grandes Vitórias Esperam por Você Experimente os Melhores Jogos no Cassino <a href="https://brwin-88.com" target="_blank">brwin</a> </div></body> |
Además de los ya conocidos parámetros responsables de ocultar el bloque ( height: 0px, color: transparent, overflow: hidden) y el nombre que insinúa su contenido (<style type=”text/css”>.ads-gold), este ejemplo tiene líneas de script <script src="files/layout/js/slider3d.js?v=0d6651e2"></script> y <script src="files/layout/js/layout.js?v=51a52ad1"></script> al principio. Indican que un JavaScript externo puede manipular de forma dinámica el contenido de la página, como agregar o modificar enlaces ocultos, es decir que podría modificar ese bloque en tiempo real. Este ejemplo tiene un enfoque más moderno que los anteriores. Sin embargo, también lo detectan los filtros que bloquean manipulaciones sospechosas.
Existen otros parámetros y atributos que los atacantes utilizan para ocultar el bloque con enlaces, pero también se los puede detectar:
- en lugar de display: none; a veces se encuentra el parámetro visibility: hidden;
- dentro de position: absolute; el bloque con enlaces ocultos en lugar de tener un tamaño cero, puede estar fuera del área visible de la página. Una de las formas de lograrlo es mediante la propiedad left: -9232px; como en el ejemplo siguiente.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
<div style="position: absolute; left: -9232px"> <a href="https://romabet.cam/">روما بت</a><br> <a href="https://mahbet.cam/">ماه بت</a><br> <a href="https://pinbahis.com.co/">پین باهیس</a><br> <a href="https://bettingmagazine.org/">بهترین سایت شرط بندی</a><br> <a href="https://1betcart.com/">بت کارت</a><br> <a href="https:// yasbet.com.co/">یاس بت</a><br> <a href="https://yekbet.cam/">یک بت</a><br> <a href="https://megapari.cam/">مگاپاری </a><br> <a href="https://onjabet.net/">اونجا بت</a><br> <a href="https://alvinbet.org/">alvinbet.org</a><br> <a href="https://2betboro.com/">بت برو</a><br> <a href="https://betfa.cam/">بت فا</a><br> <a href="https://betforward.help/">بت فوروارد</a><br> <a href="https://1xbete.org/">وان ایکس بت</a><br> <a href="https://1win-giris.com.co/">1win giriş</a><br> <a href="https://betwiner.org/">بت وینر</a><br> <a href="https://4shart.com/">بهترین سایت شرط بندی ایرانی</a><br> <a href="https://1xbetgiris.cam">1xbet giriş</a><br> <a href="https://1kickbet1.com/">وان کیک بت</a><br> <a href="https://winbet-bet.com/">وین بت</a><br> <a href="https://ritzobet.org/">ریتزو بت</a><br> |
Cómo los delincuentes colocan enlaces ocultos en sitios ajenos
Los atacantes suelen aprovechar los errores de configuración y las vulnerabilidades del sitio para colocar enlaces ocultos. Puede tratarse de una contraseña de cuenta de administrador débil o comprometida, plugins o motores que no se han actualizado en mucho tiempo, un filtrado deficiente de los datos que ingresa el usuario o problemas de seguridad del proveedor de alojamiento. Además, los atacantes pueden tratar de explotar el factor humano con ataques de phishing selectivos o masivos, con la esperanza de obtener las credenciales de administrador del sitio.
Veamos con más detalle los distintos mecanismos con los que un atacante obtiene acceso para editar el código HTML de una página.
- Comprometer la contraseña del administrador. Un atacante puede “adivinar” la contraseña, conseguirla engañando a la víctima mediante phishing o robársela a través de malware. Además, la contraseña puede acabar en una base de datos filtrada. Es común que los administradores de sitios web utilicen contraseñas sencillas para proteger el panel de control o que dejen la contraseña predeterminada, lo que facilita la tarea del atacante.
Tras obtener acceso al panel de administración, un atacante puede editar directamente el código HTML de la página o, entre otras cosas, conectar sus plugins con bloques SEO ocultos. - Explotación de vulnerabilidades en CMS (WordPress, Joomla, Drupal). Si el motor o los plugins no están actualizados, los atacantes utilizan vulnerabilidades conocidas (SQL Injection, RCE, XSS) para acceder al código del sitio. Después, dependiendo del nivel de acceso que consigan por la explotación de una vulnerabilidad concreta, pueden editar los archivos de plantilla (header.php, footer.php, index.php, etc.), insertar bloques invisibles en páginas arbitrarias del sitio, etc.
En los ataques de inyección SQL, el atacante inyecta código SQL malicioso en una consulta a una base de datos. Muchos sitios web, desde portales de noticias hasta tiendas en línea, almacenan contenidos (textos, descripciones de productos, noticias) en una base de datos. Si una consulta SQL, como SELECT * FROM posts WHERE id = '$id', permite pasar datos arbitrarios, un atacante puede utilizar el campo $id para inyectar su código. Esto le permite modificar el contenido de los registros, por ejemplo, insertando HTML con bloques ocultos.
En los ataques RCE (Remote Code Execution), el atacante puede ejecutar sus comandos en el servidor donde se ejecuta el sitio. A diferencia de las inyecciones SQL, que se limitan a la base de datos, RCE permite un control casi total del sistema, como crear o modificar archivos del sitio, cargar scripts maliciosos y, por supuesto, inyectar bloques invisibles.
En un ataque XSS (cross-site scripting), el atacante inyecta su código JavaScript directamente en la página web, utilizando campos de entrada vulnerables, por ejemplo en comentarios o consultas de búsqueda. Cuando otro usuario visita esta página, se ejecuta de forma automática un script malicioso en su navegador. Con este script, el atacante puede realizar varias acciones maliciosas, incluyendo añadir de forma inadvertida un bloque <div> oculto con enlaces invisibles a la página. Para los ataques XSS, el delincuente no necesita acceso directo al servidor o base de datos, como en el caso de SQL Injection o RCE, sólo necesita encontrar una vulnerabilidad del lado del sitio. - Ataque a través del proveedor de alojamiento. Además de hackear el sitio víctima, un atacante puede intentar acceder a él desde el lado del alojamiento. Si el servidor del proveedor de alojamiento está mal protegido, existe el riesgo de que sea vulnerado. Si varios sitios o aplicaciones web se ejecutan en el mismo servidor, una vulnerabilidad en uno de ellos puede poner en peligro todos los demás proyectos. Las capacidades del atacante dependen del nivel de acceso al servidor. Pueden ser: introducción de bloques ocultos en plantillas de páginas, sustitución de archivos, modificación de bases de datos, conexión de scripts externos a varios recursos al mismo tiempo, etc. En este caso, el administrador del sitio puede no darse cuenta del problema, porque la vulnerabilidad no se explota en el código de su recurso, sino en el propio entorno del servidor.
Cabe señalar que la aparición de enlaces ocultos en el sitio no siempre está asociada a un ciberataque. A menudo el problema se produce en la fase de creación del sitio, por ejemplo, si se descargó una plantilla pirateada para ahorrar dinero o el encargo lo hizo un desarrollador web sin escrúpulos.
Por qué los atacantes necesitan colocar bloques ocultos
Uno de los objetivos más obvios de incrustar bloques ocultos en recursos ajenos es robar el PageRank del sitio de la víctima. Cuanto más popular sea y más peso tenga el sitio, más interesante será para los atacantes. Pero esto no significa que los recursos web con tráfico moderado o bajo estén fuera de peligro. Los administradores de sitios populares y grandes plataformas suelen esforzarse por cumplir las normas de seguridad, y no es fácil irrumpir en ellos, por lo que los atacantes pueden utilizar sitios menos populares y menos seguros.
Como ya hemos mencionado, los motores de búsqueda detectan y bloquean con facilidad este tipo de “promoción artificial” de sitios web. Sin embargo, los atacantes pueden beneficiarse a corto plazo: pueden dirigir tráfico a los sitios que les interesan mientras los motores de búsqueda no hayan detectado la amenaza.
En particular, aunque el usuario no vea el bloque oculto y no pueda hacer clic en los enlaces, los atacantes pueden aumentar la “frecuentación” de sus recursos con ayuda de scripts. Un escenario posible: un JavaScript en segundo plano crea un iframe o envía una petición HTTP al sitio desde el bloque oculto, que recibe información sobre la visita.
Los enlaces ocultos pueden conducir no sólo a recursos pornográficos y otros de dudosa reputación, sino también a recursos con contenidos de baja calidad, que tienen el único propósito de promocionarse para su posterior reventa, así como a sitios de phishing y maliciosos. En esquemas complejos, el script que proporciona “visitas” a tales recursos puede cargar código malicioso en el navegador de la víctima.
Por último, los enlaces ocultos permiten a los atacantes quitarle reputación al sitio atacado y desacreditarlo ante los motores de búsqueda. Con algoritmos como el de Google Penguin, que penalizan los sitios con enlaces dudosos, esta amenaza es especialmente relevante. Los atacantes pueden utilizar estas técnicas como instrumento de competencia desleal, hacktivismo o cualquier otra actividad que implique desacreditar a organizaciones o personas concretas.
También es interesante que en 2025 empezamos a encontrar con más frecuencia en diversos sitios legítimos bloques ocultos con enlaces a recursos pornográficos y casinos en línea. Con un bajo grado de certeza, podemos suponer que esto se debe, por un lado, al desarrollo de las redes neuronales y a la capacidad de automatizar fácilmente este tipo de ataques. Y por otro, a las actualizaciones de los sistemas antispam de Google, que se producen con regularidad y se completaron por última vez a finales de septiembre de 2025: los atacantes podrían haber intentado aprovechar al máximo las ventajas antes de que el buscador les complicase un poco más la vida.
Consecuencias para el sitio víctima
Las consecuencias para el sitio víctima pueden variar en gravedad. Como mínimo, tener enlaces ocultos introducidos por agentes externos tiene un efecto negativo en la reputación en los buscadores, pudiendo provocar una pérdida de posiciones en el ranking o, en el peor de los casos, la exclusión total de los mismos. Sin embargo, incluso sin sanciones, estos enlaces dañan la estructura interna de enlaces, ya que conducen a recursos externos y les transfieren parte del valor del sitio víctima, lo que afecta de forma negativa la clasificación de las páginas clave.
Aunque los visitantes del sitio no vean los enlaces ocultos, pueden ser detectados por auditores externos, sistemas de análisis de contenidos o investigadores, que a menudo divulgan sus hallazgos en informes públicos. Esto, a su vez, puede socavar la credibilidad de un sitio. Por ejemplo, si nuestro motor de categorización detecta recursos con enlaces a páginas pornográficas, éstos serán categorizados como “Contenido para adultos”. En consecuencia, todos nuestros clientes que utilicen el filtrado web y tengan activado el bloqueo de categorías, no podrán visitar esos sitios. Además, la información sobre la categorización de un sitio web se publica en Kaspersky Threat Intelligence Portal y está disponible para cualquiera que desee comprobar su reputación.
Si a través del sitio se distribuyen contenidos prohibidos o fraudulentos, el problema pasa al ámbito jurídico: el propietario se arriesga a enfrentarse a reclamos de titulares de derechos de autor o de organismos reguladores. Por ejemplo, si los enlaces llevan a recursos piratas, el sitio puede ser considerado intermediario en la infracción de derechos de autor. Si el bloque oculto contiene scripts maliciosos o redirecciona a recursos dudosos como páginas de phishing, el propietario puede ser acusado de fraude u otros delitos informáticos.
Cómo detectar un bloque con enlaces ocultos en su sitio web
La forma más fácil y accesible para cualquier usuario de comprobar la presencia de un bloque oculto en un sitio es analizar el código fuente en el navegador. Es muy fácil hacerlo. Vaya al sitio de destino, pulse Ctrl+U, y en la siguiente pestaña se abrirá el código del sitio. Allí tiene que buscar (Ctrl+F) las siguientes palabras clave: display: none, visibility: hidden, opacity: 0, height: 0, width: 0, position: absolute. Además, puede buscar palabras clave específicas del propio contenido oculto. Si hablamos del riesgo de colocar enlaces a sitios pornográficos o de juegos de azar, debe buscar palabras como porn, sex, casino, card y similares.
Una forma un poco más complicada es explorar el DOM en busca de bloques invisibles mediante las herramientas para desarrolladores (DevTools). Una vez que la página esté completamente cargada, en su navegador, abra DevTools (F12) y vaya a la pestaña Elements. Utilice la búsqueda (Ctrl+F) con las palabras clave: <a, iframe, display: none, hidden, opacity. Pase el cursor sobre los elementos sospechosos del código para que el navegador resalte su ubicación en la página. Si el bloque ocupa cero espacio o está fuera del área visible, es señal de que se trata de un elemento oculto. Compruebe la pestaña Computed del elemento seleccionado, allí podrá ver los estilos CSS aplicados y averiguar si está oculto a los ojos del usuario.
También puede utilizar herramientas SEO especializadas. Estas suelen ser soluciones de terceros que analizan los datos relacionados con la optimización SEO de los sitios web y elaboran informes. También pueden proporcionar un informe sobre enlaces sospechosos. La mayoría de las veces, estas soluciones son de pago, y a la hora de elegir una herramienta no hay que guiarse tanto por el precio como por la reputación del proveedor. Es mejor utilizar servicios reconocidos y fiables que no incluyan cargas maliciosas o dudosas, como Google Search Console, Bing Webmaster Tools, OpenLinkProfiler o SEO Minion.
Otra forma de detectar spam SEO oculto en un sitio web es comprobar el propio CMS y sus archivos. Para empezar, conviene escanear las tablas de la base de datos en busca de etiquetas HTML sospechosas con enlaces externos que puedan haber sido insertados por atacantes, y revisar con atención los archivos de plantillas del sitio (header.php, footer.php, index.php) y los módulos incluidos para detectar código desconocido o sospechoso. Preste especial atención a las inserciones cifradas, scripts raros o enlaces que no deben estar en la estructura del sitio.
Además, puede comprobar la reputación del sitio en Kaspersky Threat Intelligence Portal. Si a un sitio se le asigna una categoría no relacionada (por lo general, “Contenido para adultos”, “Contenido sexual explícito” o “Juegos de azar”), hay una alta probabilidad de que haya un bloque de spam SEO oculto en su sitio.
Cómo proteger su sitio
Para impedir que los enlaces ocultos lleguen a su sitio, debe evitar las plantillas, temas y otras soluciones estándar sin licencia. Toda la infraestructura del sitio web debe basarse solo en soluciones oficiales y con licencia. También aplica a los webmasters y a las empresas que contrate para crear el sitio: le recomendamos revisar el resultado de su trabajo no solo en busca de enlaces ocultos, sino también de vulnerabilidades. ¡Nunca escatime en seguridad!
Mantenga actualizado el CMS, los temas y plugins a las versiones más recientes, ya que las nuevas versiones suelen cerrar vulnerabilidades conocidas que son aprovechadas por los atacantes. Si su sitio contiene plugins y temas que no se utilizan, debe eliminarlos. Cuanto menos elementos innecesarios haya instalados, menor será el riesgo de explotar una vulnerabilidad en una de las extensiones, plugins y temas. No obstante, cabe señalar que este riesgo nunca desaparece por completo: está ahí incluso con un conjunto mínimo de componentes, si es que están obsoletos o mal protegidos.
Para proteger los archivos y el servidor, es importante configurar bien los derechos de acceso. Los servidores que funcionan con Linux y otros sistemas tipo Unix utilizan 644 para los archivos y 755 para las carpetas. Esto significa que el propietario de un archivo o carpeta puede leerlo y modificarlo (en el caso de una carpeta, también entrar en ella), mientras que el grupo y los demás usuarios sólo pueden leer archivos y entrar en carpetas. Si la escritura no es necesaria, por ejemplo, en las carpetas de plantillas, lo mejor es prohibirla por completo para reducir el riesgo de que intrusos hagan cambios no autorizados. Además, debe configurar copias de seguridad automáticas y periódicas del sitio, para que en caso de problemas pueda restaurar los datos con rapidez. Además, debe utilizar cortafuegos web (WAF), que ayudan a bloquear las solicitudes maliciosas y proteger el sitio contra ataques externos. Esta solución está disponible en Kaspersky DDoS Protection.
Para proteger el panel de administrador, utilice siempre contraseñas complejas y 2FA sin excepción. Si le es posible, no debe descuidar la restricción de acceso al panel de administración por dirección IP. Y solo un número limitado de personas debe tener derechos de administrador.
Autores
Índice
- Bloque HTML invisible, o spam SEO
- Cómo funcionan los enlaces (hidden links)
- Qué aspecto tiene un bloque de SEO de sombrero negro en el código HTML de una página
- Cómo los delincuentes colocan enlaces ocultos en sitios ajenos
- Por qué los atacantes necesitan colocar bloques ocultos
- Consecuencias para el sitio víctima
- Cómo detectar un bloque con enlaces ocultos en su sitio web
- Cómo proteger su sitio
De los mismos autores
En la misma categoría
Spam SEO y enlaces ocultos: cómo proteger la seguridad y reputación de los sitios web