{"id":5702,"date":"2022-02-08T06:17:14","date_gmt":"2022-02-08T11:17:14","guid":{"rendered":"https:\/\/www.marketerosagencia.com\/blog\/?p=5702"},"modified":"2023-05-10T16:04:32","modified_gmt":"2023-05-10T21:04:32","slug":"posicionamiento-seo-poisoning","status":"publish","type":"post","link":"http:\/\/www.marketerosagencia.com\/blog\/seo\/posicionamiento-seo-poisoning\/","title":{"rendered":"Posicionamiento SEO Poisoning, un malware que se propaga"},"content":{"rendered":"

Recientes acontecimientos relativos al SEO Poisoning han creado un ambiente de tensi\u00f3n entre las altas esferas del Posicionamiento SEO<\/a> debido a su peligrosidad y, sobre todo, a que nadie sabe c\u00f3mo acabar\u00e1.<\/p>\n

Es por ello que en el art\u00edculo de hoy intentaremos aclarar todo lo relacionado con el concepto SEO Poisoning, as\u00ed como explicar todo lo que sabemos sobre el caso de SolarMarket, un malware que ha logrado poner en jaque a la todopoderosa Google.<\/p>\n

\u00bfQu\u00e9 es el SEO Poisoning?<\/h2>\n

\"SEO<\/p>\n

Cuando hablamos de Posicionamiento SEO Poisoning o envenenamiento SEO debemos saber que se trata de un t\u00e9rmino usado para definir dos tipos de actividades diferenciadas:<\/p>\n

1. T\u00e9cnicas ileg\u00edtimas utilizadas para lograr una alta clasificaci\u00f3n en los motores de b\u00fasqueda, las cuales suelen ser usadas para atacar a los visitantes.
\n2. Explotar las vulnerabilidades en sitios web de alto rango con el fin de propagar un malware.<\/p>\n

Viendo esto seguro que ya te haces una idea del porqu\u00e9 el SEO Poisoning tiene tan preocupados a los gigantes del marketing digital…<\/p>\n

Un problema adicional es que no se trata de una t\u00e9cnica de Black Hat SEO<\/a> que s\u00f3lo usen los sitios web maliciosos, si no que adem\u00e1s puede ser utilizado por sitios web leg\u00edtimos con el fin de aumentar su clasificaci\u00f3n, lo cual dificulta a\u00fan m\u00e1s su seguimiento. Sin embargo, si la intenci\u00f3n es maliciosa, el objetivo del atacante es instalar un malware como por ejemplo los troyanos.<\/p>\n

Dado que el objetivo del SEO Poisoning es tratar de llegar al m\u00e1ximo n\u00famero de personas de la forma m\u00e1s r\u00e1pida y sencilla posible, suelen centrar sus ataques en keywords que sean tendencia en ese momento.<\/p>\n

Por ejemplo, hace poco se localizaron ataques de SEO Poisoning durante la erupci\u00f3n de un volc\u00e1n en Palma, Espa\u00f1a. El ataque se centr\u00f3 en keywords como “ayuda a Palma”, con el objetivo de que las v\u00edctimas de su estafa enviaran ayuda econ\u00f3mica a supuestas cuentas para ayudar a la poblaci\u00f3n de Palma, cuando en realidad se trataba de cuentas falsas. Tambi\u00e9n se han registrado ataques durante las principales campa\u00f1as pol\u00edticas, as\u00ed como en otros eventos mundiales de gran importancia.<\/p>\n

Todo esto, aunque preocupante, ya se sab\u00eda. Sin embargo, recientemente se ha registrado un ataque sin precedentes que ha dejado un panorama pocas veces visto con anterioridad.<\/p>\n

Hablamos como no, del malware SolarMarker…<\/p>\n

\u00bfQu\u00e9 es el malware SolarMarker y c\u00f3mo se propaga?<\/h2>\n

\"Posicionamiento<\/p>\n

Hace apenas una semana, una empresa brit\u00e1nica puntera dedicada a los software y hardware de seguridad llamada Sophos descubri\u00f3 un nuevo enfoque en el malware llamado SolarMarker, el cual se estaba distribuyendo a trav\u00e9s de Google Groups gracias a una falsa campa\u00f1a de SEO, adem\u00e1s de incluir archivos PDF maliciosos para ser descargados por los usuarios desprevenidos.<\/p>\n

Lo incre\u00edble de todo esto, es que seg\u00fan una investigaci\u00f3n de Sophos, el creador del malware ha asociado su propia marca al SEO Poisoning para distribuir los archivos maliciosos…<\/p>\n

En su \u00faltimo informe, Sophos se refiere a SolarMarker como un malware de puerta trasera dedicado al robo de informaci\u00f3n que fue detectado por primera vez a finales de 2020.<\/p>\n

El malware SolarMarker por lo general se instala cuando los usuarios visitan un resultado de b\u00fasqueda de Google que previamente ha sido posicionado en las primeras posiciones de b\u00fasqueda gracias a t\u00e9cnicas de Black Hat SEO. Estos enlaces est\u00e1n dise\u00f1ados para que el usuario descargue un instalador falso de Windows que ejecuta un script de PowerShell.<\/p>\n

Si bien el SEO Poisoning ya era preocupante pero al menos parec\u00eda estar medio controlado, la efectividad de este enfoque particular creado por SolarMarker es algo que nadie se esperaba y ha hecho mucho da\u00f1o.<\/p>\n

En el informe publicado por Sophos<\/a> se puede leer:<\/p>\n

“Este ataque de SEO Poisoning, en el cual han aprovechado una combinaci\u00f3n de discusiones de Google Groups, p\u00e1ginas web enga\u00f1osas y documentos PDF alojados en sitios web comprometidos (por lo general WordPress), fueron tan efectivos que los se\u00f1uelos de SolarMarker estaban casi siempre en la primera posici\u00f3n de los resultados de b\u00fasqueda de las keywords que SolarMarker seleccion\u00f3 para realizar sus ataques”.<\/p>\n

Esta es una de las razones por las que este ataque ha sido tan inusual, ya que la mayor\u00eda de ataques han venido de operaciones de “descarga como servicio” y no de operadores individuales.<\/p>\n

Antes el SEO Poisoning sol\u00eda ser una t\u00e9cnica mucho m\u00e1s com\u00fan, pero recientemente se ve\u00eda menos porque no es tan efectivo para los ataques dirigidos. La mayor parte del envenenamiento SEO que vemos a d\u00eda de hoy es parte de los servicios de distribuci\u00f3n de malware de pago, los cuales son vistos como una peque\u00f1a parte de las operaciones de malware relacionadas con el robo de informaci\u00f3n y el criptofraude. Y es que es raro que un operador de malware cree su propia estructura de SEO Poisoning, pero como nos ha demostrado el malware SolarMarker, esto sigue ocurriendo.<\/p>\n

En el informe se citan tres m\u00e9todos diferentes de manipulaci\u00f3n del posicionamiento SEO con los que distribuir SolarMarker:<\/p>\n

1. En el primero los atacantes crearon grupos de Google con alrededor de 500 publicaciones falsas con diferentes usuarios para crear una falsa imagen de actividad. A continuaci\u00f3n incluyeron enlaces PDF en los comentarios que redirig\u00edan a instalaciones maliciosas.<\/p>\n

2. En su segundo m\u00e9todo, los atacantes de SolarMarker crearon un archivo PDF malicioso para posteriormente posicionarlo en los resultados de b\u00fasqueda. El PDF conten\u00eda enlaces a otros PDF o a descargas de contenidos, los cuales ya si redirig\u00edan a un instalador de Windows falso.<\/p>\n

3. Con el tercer m\u00e9todo, los atacantes hicieron uso de sitios web enga\u00f1osos creados con WordPress que conten\u00edan c\u00f3digo HTML. La fuente HTML de estas p\u00e1ginas maliciosas conten\u00edan enlaces para otros t\u00e9rminos de b\u00fasqueda, todos conectados a otras p\u00e1ginas maliciosas en el mismo servidor comprometido, como parte del mecanismo detr\u00e1s de la campa\u00f1a de SEO fraudulenta que llevaron a cabo.<\/p>\n

Entre las keywords<\/a> que SolarMarker atac\u00f3 se encuentran “acceso universidad”, “solicitud laboral” y “c\u00f3mo hacer curr\u00edculum”. Pues bien, este ataque de SEO Poisoning fue tan efectivo que algunos t\u00e9rminos de b\u00fasqueda colocaron enlaces para las tres keywords enumeradas dentro de los 10 primeros resultados de b\u00fasqueda de Google.<\/p>\n

Seg\u00fan Sophos, los cuales detectaron este cambio de patr\u00f3n en SolarMarker por primera vez en octubre de 2021, parece ser que la campa\u00f1a ha cesado, aunque reconocen que la amenaza sigue vigente:<\/p>\n

“Actualmente no hay campa\u00f1as activas de propagaci\u00f3n de SolarMarker, ya que se cerr\u00f3 la web de descarga final que utilizaban los atacantes. Sin embargo las implementaciones de SolarMarker permanecen activas, y aunque hemos visto una disminuci\u00f3n en las detecciones del malware desde noviembre de 2021, el malware no ha desaparecido. Puede ser solo cuesti\u00f3n de tiempo antes de que se lance una nueva campa\u00f1a que utilice una nueva infraestructura”.<\/p>\n

Este caso tan particular ha hecho que los operadores de motores de b\u00fasqueda se devanen los sesos en busca de una soluci\u00f3n al problema. Seg\u00fan el informe, tanto Google como otros operadores de motores de b\u00fasqueda est\u00e1n ajustando sus algoritmos<\/a> con el fin de buscar webs fraudulentas enfoc\u00e1ndose en grupos de enlaces de t\u00e9rminos de b\u00fasqueda no relacionados con la p\u00e1gina y degradando su rango de p\u00e1gina o marc\u00e1ndolos como spam potencial, adem\u00e1s de seguir enlaces m\u00e1s profundos en la indexaci\u00f3n para as\u00ed localizar descargas de archivos no relacionados.<\/p>\n","protected":false},"excerpt":{"rendered":"

Recientes acontecimientos relativos al SEO Poisoning han creado un ambiente de tensi\u00f3n entre las altas esferas del Posicionamiento SEO debido a su peligrosidad y, sobre todo, a que nadie sabe c\u00f3mo acabar\u00e1. Es por ello que en el art\u00edculo de hoy intentaremos aclarar todo lo relacionado con el concepto SEO Poisoning, as\u00ed como explicar todo […]<\/p>\n","protected":false},"author":23,"featured_media":5908,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"rank_math_lock_modified_date":false,"footnotes":""},"categories":[11],"tags":[],"class_list":["post-5702","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seo"],"acf":[],"_links":{"self":[{"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/posts\/5702"}],"collection":[{"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/comments?post=5702"}],"version-history":[{"count":2,"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/posts\/5702\/revisions"}],"predecessor-version":[{"id":5707,"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/posts\/5702\/revisions\/5707"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/media\/5908"}],"wp:attachment":[{"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/media?parent=5702"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/categories?post=5702"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.marketerosagencia.com\/blog\/wp-json\/wp\/v2\/tags?post=5702"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}