¿Qué es el SEO poisoning (y otros ataques digitales basados en SEO)?

por | Mar 28, 2025 | Sin categoría | 0 Comentarios

Post escrito por: Adrián Carrrera

Escribes deprisa el nombre de tu banco en el buscador, que te da algunos resultados, das clic en el primero sin fijarte mucho y crees entrar a la web de la institución bancaria en cuestión. ¿Y qué tal si al escribir cometiste un error humano y te faltó una letra o la cambiaste por accidente? ¿Qué tal si el resultado de búsqueda donde diste clic aprovechó eso —esa falla humana— y te engañó para que entraras a un sitio web que no es el de tu banco y que tampoco tiene buenas intenciones?

El ejemplo anterior es un ataque digital basado en técnicas de SEO (siglas para Search Engine Optimization o, en español, Optimización para Motores de Búsqueda), que después suele combinarse con algunos otros tipos de ataque. Vamos a ver cada uno y cómo suelen funcionar.

Ataques basados en SEO

Proponemos dividir los ataques digitales en dos tipos de acuerdo con su vía de ejecución: por un lado, están aquellos realizados mediante vulneraciones técnicas; por el otro, los que se valen de conductas humanas para lograr su cometido. 

Los ataques basados en SEO pueden clasificarse dentro del primer grupo —vulneraciones técnicas— pero que apuestan a un fallo humano como los del segundo grupo — conductas humanas —, ya que recurren a procedimientos especializados que requieren cierto nivel de conocimiento y que posteriormente abusarán del factor humano. Con frecuencia, el SEO poisoning es el primero de varios ataques que actores maliciosos suelen realizar de forma combinada.

Si quieres saber más al respecto, puedes consultar nuestra Tipología de Ataques Digitales.

¿Qué es el SEO poisoning?

Los motores de búsqueda, comúnmente llamados “buscadores”, como son Google o DuckDuckGo, siguen ciertos algoritmos —una serie de pasos  y criterios— para definir qué nos muestran en las páginas de resultados. Las técnicas SEO buscan adaptar los sitios web a estos criterios para que sean fácilmente ubicables y tomados en cuenta por los buscadores. El objetivo es aparecer entre los primeros resultados y, en consecuencia, atraer más visitas.

Entonces, el SEO es un conjunto de técnicas útiles que pueden ayudar a que un recurso en línea sea más fácil de encontrar para quienes lo necesiten. Sin embargo, como quizá te es evidente a estas alturas, puede ser usado con fines maliciosos, como llevar a la persona usuaria a sitios fraudulentos que le roben información o propiciar la descarga de malware. Al uso malintencionado de técnicas SEO se le conoce como SEO poisoning (en español envenenamiento SEO).

La siguientes son algunas técnicas usadas para los ataques del tipo SEO poisoning: 

  • Técnicas usuales de SEO
    • Buen contenido: material original, creado por especialistas en la materia, con fuentes confiables y que es relevante para un campo dado.
    • Uso de títulos y palabras clave: guardan relación evidente con los contenidos de la web y la forma en que están organizados, además de que coinciden con términos de búsqueda populares en el campo.
    • Fácil navegación: con estructura que facilita la exploración a los buscadores y a las personas usuarias, usualmente mediante una jerarquía clara entre categorías y subcategorías del sitio web.
  • Técnicas de SEO maliciosas (suelen ser penalizadas por los buscadores una vez que las detectan)
    • Cloaking: cuando los sitios web están creados de tal modo que su lado visible a la persona usuaria no concuerda con el que muestra a los rastreadores de los motores de búsqueda.
    • Keyword Stuffing: consiste en usar palabras clave de forma indiscriminada, repetitiva y poco natural, que muchas veces no concuerda con el contenido en cuestión.
    • Esquema de enlaces: suele valerse de un grupo de sitios web (granjas de enlaces), propios o contratados, que venden el hecho de enlazar masivamente hacia otro sitio web dado.

Phishing, malvertising y typosquatting: cómplices del SEO poisoning

Como mencionamos antes, el SEO poisoning suele ser uno de varios ataques digitales que trabajan “en equipo” para que la persona atacante logre su objetivo. Tenemos, entonces, que suele acompañarse de malvertising, phishing o typosquatting. Digamos, pues, que son cómplices.

En caso de que estos términos te resulten desconocidos, te cuento que, a grandes rasgos, el malvertising es un ataque digital que emplea publicidad en línea para esparcir malware —que es software malicioso capaz de comprometer la privacidad de tu información y el funcionamiento adecuado de tu dispositivo. Si quieres profundizar, puedes leer nuestra entrada ”Qué es malware, qué tipos hay y cómo protegerte”.

Por otro lado, el typosquatting consiste en aprovechar posibles errores tipográficos al escribir una dirección o realizar una búsqueda en internet. En estos casos, la dirección web (URL), o incluso el nombre de un sitio, son similares al auténtico, pero con alguna variante que refleja un error común al teclearlo. Por ejemplo, una dirección web que en lugar de sitioweb.com diga siitioweb.com.

Finalmente, el phishing consiste en engañar a las personas haciéndose pasar por un interlocutor confiable, casi siempre para obtener información personal. Puede tomar varias formas, como un mensaje enviado por correo electrónico, en redes sociales e incluso por SMS, pero en este caso nos enfocaremos en los sitios web.

Los sitios web de phishing son como esos animales depredadores que engañan a sus presas “disfrazándose” de seres que no son percibidos como amenazantes. Así como las mantis religiosas, que se mimetizan y son fácilmente confundidas con plantas, existen sitios web que llegan a asemejarse tanto a los originales que las personas usuarias pueden confiarse y caer en la trampa.

Esquema que ilustra, con capturas de pantalla, cuatro momentos de un ataque malicioso. Primero muestra una barra de búsqueda con el texto

Esta imagen ilustra los tres ataques explicados en la sección. El ataque mostrado es del tipo malvertising (el paso 1 se vale de publicidad en forma de Google Ad), pero también recurre a una URL que podría aprovechar typosquatting (paso 2) y a un sitio web de phishing (paso 3). En el paso 4 se concreta el ataque de malvertising, al descargar malware. Fuente: https://blog.1password.com/malvertising-on-google-ads/

Ahora que sabes qué son cada uno de estos ataques, veremos algunos ejemplos, basados en casos reales, de cómo suelen combinarse.

Ejemplos de ataques basados en SEO

En términos generales, considera que los ataques basados en SEO suelen aprovechar búsquedas comunes, por ejemplo, sobre formas de hacer dinero. También aquellas asociadas a situaciones de atención e interés masivos, como grandes eventos deportivos —NFL, Juegos Olímpicos, Copa Mundial de la FIFA— o desastres naturales —sismos, inundaciones, huracanes.

Sin embargo, se han documentado situaciones más específicas:

Suplantación de webs bancarias

Una forma que toma el SEO poisoning es aparecer en los resultados de búsqueda con una web falsa que sirve para robar los datos de personas usuarias. Los pasos usuales en estos casos son como siguen. 

En un primer momento, la persona usuaria busca en internet el nombre de su banco para encontrar su sitio web, pero comete un pequeño error al teclearlo. Entonces, gracias al SEO poisoning, el sitio web falso aparece entre los primeros resultados de la búsqueda. Observemos cómo aquí se emplean, de manera combinada, el SEO poisoning y el typosquatting. También existe la posibilidad de que la persona usuaria escriba correctamente las palabras clave en el buscador y, aún así, entre los primeros resultados aparezca un sitio web malicioso.

Posteriormente, la persona da clic en el resultado, que dirige a un sitio web muy similar al del banco, pero no es el sitio web legítimo. Aquí inicia el phishing. Creyendo que se trata del sitio web de su banco, la persona entrega datos personales que permiten a los atacantes acceder a su cuenta bancaria. Aquí se logra el objetivo de la persona atacante, al robar información. Estamos frente a la concreción del phishing y de la secuencia de ataques.

Imagenque ilustra, con capturas de pantalla, dos momentos de un ataque malicioso. Primero muestra una barra de búsqueda con el texto

Ejemplo en el que se introducen palabras clave correctas y un resultado patrocinado lleva a una web de phishing bancario. Fuente: elaboración propia con imágenes tomadas de https://www.bbva.mx/personas/centro-de-ayuda/consejos-de-seguridad/sitios-apocrifos.html#con-herramientas-de-soporte

Uso de publicidad y falsas descargas de aplicaciones

En algunos casos se emplea maliciosamente el sistema de anuncios publicitarios de Google —el buscador más popular. Conocido como Google Ads, este sistema permite a las personas atacantes aparecer no solo entre los primeros resultados de búsqueda, sino también en la sección de anuncios de diversos sitios web que muestren Google Ads.

En 2024 hubo ataques que se valieron de Google Ads para aparecer en los primeros resultados de búsquedas asociadas, precisamente, a una herramienta de esta misma empresa: Google Authenticator. Así lo documentó MalwareBytes Lab en su entrada de blog “Threat actor impersonates Google via fake ad for Authenticator”.

Capturas de pantalla de resultado de búsqueda patrocinado (Google Ad) de Google Authenticator pero que, después, muestra cómo, al revisar la opción

Aunque en un primer vistazo pudiera parecer un anuncio auténtico del software de seguridad digital Google Authenticator, al mirar información del anunciante se revela que es una persona no relacionada. Fuente: www.malwarebytes.com/blog/news/2024/07/threat-actor-impersonates-google-via-fake-ad-for-authenticator


Captura de pantalla de sitio web de phishing que descarga malware haciéndose pasar por Google Authenticator. Se muestra que el sitio tiene una URL no oficial:

El anuncio malicioso lleva a un sitio web de phishing donde se descarga malware que se hace pasar por el software Google Authenticator. Nótese también la URL no oficial. Fuente: www.malwarebytes.com/blog/news/2024/07/threat-actor-impersonates-google-via-fake-ad-for-authenticator

Casos similares se dieron en 2023, pero con búsquedas asociadas a software de variada índole, como OBS Studio. Lo reportó el sitio especializado Bleeping Computer en la nota “Hackers push malware via Google search ads for VLC, 7-Zip, CCleaner”. 

Este año, como advirtió la compañía ESET en una publicación de su cuenta de Instagram, se ha usado esa variante para búsquedas de la herramienta ChatGPT.

 

 
 
 
 
 
Ver esta publicación en Instagram
 
 
 
 
 
 
 
 
 
 
 

 

Una publicación compartida por ESET Latinoamérica (@esetla)

Tanto en el caso de Google Authenticator como de OBS Studio y ChatGPT, los anuncios publicitarios dirigían a URL y sitios web similares que simulaban ser los auténticos. Al dar clic, las personas usuarias eran redirigidas —sin que estas lo notaran— a una serie de sitios web que, finalmente, las llevaban a descargar malware haciéndole creer a sus víctimas que estaban descargando el software deseado. 

Una variante documentada de esta modalidad es la creación de sitios web maliciosos que alojan descargas de programas populares. En estos casos, cibercriminales logran posicionar los sitios web entre los primeros resultados gracias al uso de Google Ads. Cuando la persona usuaria teclea búsquedas —como, por ejemplo,  “descargar Capcut”—, aparecen estos sitios web maliciosos en la primera página.

Con ello, atraen personas a esos sitios que, si bien no pretenden ser los oficiales de cada software, sí ofrecen enlaces para supuestamente descargar la aplicación deseada. Se han registrado publicidades maliciosas para búsquedas de programas como Capcut, Blender, VLC Media player, 7-zip, CCleaner, WinRAR, entre otros.

Uso malicioso de publicidad contra dependencias gubernamentales 

Este tipo de ataque tiene un alcance potencial alto debido a que apunta a engañar a la ciudadanía que recurre a dependencias de gobierno.

A inicios de 2025, fue documentado un caso que ilustra esta modalidad. La startup SILIKN emitió la alerta “Más de 17 dependencias gubernamentales podrían ser víctimas de fraude debido a una campaña maliciosa basada en Google Ads

¿En qué consistió este ataque? Cibercriminales crearon sitios web de phishing, simulando ser los oficiales de Google Ads. Así, personas interesadas en anunciarse empleando dicho servicio, podrían haber entregado credenciales e información gubernamentales.

En este caso, el ataque se dirigió contra personas funcionarias que laboran en distintas dependencias de gobierno en México, tales como el Instituto del Fondo Nacional de la Vivienda para los Trabajadores (Infonavit), el Servicio de Administración Tributaria (SAT) y el Instituto Mexicano del Seguro Social (IMSS), por mencionar algunos. Es decir, el objetivo fue robar las credenciales de estas dependencias, pudiendo las personas atacantes, posteriormente, hacer anuncios a nombre de las mismas, poniendo en riesgo a la ciudadanía que usa sus servicios.

A diferencia del tipo de ataque anterior, aquí las URL maliciosas se alojan dentro de un dominio oficial de Google, lo cual podría dar una falsa sensación de validez y seguridad a las personas usuarias, además de dificultar su detección por parte de Google. ¿Cómo se logra esto? Creando los sitios web maliciosos mediante Google Sites, un servicio de creación y alojamiento de sitios web de dicha empresa.

Nos enteramos de este caso gracias a la nota “Hackers activan ola de ataques en Google para estafar a usuarios del SAT, IMSS e Infonavit”, del periodista Ignacio Gómez.

Esquema que ilustra, con capturas de pantalla, cuatro momentos de un ataque con Google Ads. Los pasos son. Uno: Google Ad Maliciosa. Dos: Página de inicio o home del sitio web falso de Google Ads. Tres: sitio de phishing que solicita contraseña. Cuatro: cuenta rogue admin creada.

Representación esquemática de los pasos que siguen los ataques basados en Google Ads maliciosas. Fuente: https://thehackernews.com/2025/01/google-ads-users-targeted-in.html

¿Qué hacer ante los ataques basados en SEO?

Los ataques basados en SEO representan una amenaza para la integridad de nuestra información y dispositivos. Mediante las combinaciones antes descritas, cibercriminales pueden acceder a información personal, ya sea porque la entreguemos mediante engaños (phishing) o que, mediante malware, la roben de nuestras cuentas y dispositivos.

Lo anterior puede derivar en accesos no autorizados a cuentas personales —ya sean bancarias, sociales o de otros tipos—, espionaje, secuestro de datos (ransomware) e incluso, en algunas variantes del malware, el uso inadvertido de nuestros dispositivos o cuentas para otros fines maliciosos.

Claves para identificar ataques basados en SEO

Afortunadamente, hay acciones concretas que podemos realizar para mitigar —hacer menos probable que ocurra y que, si ocurre, tenga un impacto menor— y evitar este tipo de ataques. Para ello, es clave identificar los ataques basados en SEO. Algunos rasgos comunes y que puedes considerar señales de alerta son los siguientes:

  • Dirección web (o URL) muy larga o mal escrita.
  • Al navegar en el sitio web, surgen ventanas emergentes que, de manera reiterada, te piden descargar un archivo.
  • El sitio web no cuenta con certificado SSL. Si no conoces el término, puedes leer el siguiente post que explica qué es un certificado SSL.
  • La web presume reseñas de cinco estrellas de sitios desconocidos.
  • Ofrecen tratos demasiado buenos para ser verdad.
  • Baja calidad del sitio web. Como errores ortográficos, diseño visual muy sencillo o elementos fuera de lugar. Ojo, que también hay sitios web maliciosos que podrían tener mejor pinta.

¿Cómo gestionar el riesgo de ataques basados en SEO?

Probablemente no existan acciones que permitan cortar de tajo todos los riesgos y variantes asociados a este tipo de ataques. Sin embargo, hay un par de acciones que sirven para evitar variantes puntuales:

  • Descarga segura de aplicaciones. Como ya lo vimos, una variante de estos ataques aprovechan el interés de personas usuarias por conseguir algún software. Puedes eliminar el riesgo de este tipo de ataques basados en SEO si buscas y descargas el programa deseado desde la tienda de aplicaciones respectiva.
  • Uso de buscadores alternativos. Esto evita el riesgo específico de caer en ataques que se valgan de Google Ads. Los resultados de estos motores de búsqueda no incluyen ese tipo de ataques. Sin embargo, es importante considerar que también son susceptibles a otro tipo de ataques basados en SEO. Algunos buscadores alternativos son Startpage, BraveSearch y DuckDuckGo.

Por otro lado, sí hay estrategias que podemos usar para mitigar la mayoría de los riesgos de ataques basados en SEO:

  • Activación del modo de navegación segura. Varios de los navegadores más populares cuentan con esta opción. Por ejemplo, Google Chrome cuenta con Google Safe Browsing. Al activarla el navegador emitirá alertas de manera automática en cuanto detecte un sitio web sospechoso. Sin embargo, para cumplir con estas funciones monitorea tus actividades de navegación, lo que podría comprometer tu privacidad. Aunque varía dependiendo del dispositivo, la ruta usual para activar la navegación segura es: Configuración → Privacidad y seguridad → Seguridad. De todas maneras, te compartimos una guía sobre cómo usar la navegación segura en Chrome.
  • Verificación de URL. Si entre los resultados de búsqueda sospechas que alguno podría ser malicioso, sin dar clic, copia la URL y pégala en VirusTotal URL, que te informará si hay alertas sobre el potencial malicioso de dicha URL. 
  • Uso de antimalware. Existen diferentes servicios de protección para combatir el malware y que suelen alertar sobre sitios web maliciosos. Recomendamos que tengas alguno instalado y actualizado en tus dispositivos. Algunos de ellos son Avira, BitDefender y Microsoft Defender.
  • Verificación en dos pasos. En el caso de que la persona atacante logre instalar malware o engañarte y robar tus contraseñas, contar con la verificación en dos pasos activa podría ser la diferencia entre un acceso no autorizado fallido o exitoso. Puedes aprender más sobre esto en nuestra guía titulada Entendiendo la verificación en dos pasos (2FA): métodos y tips.

¿Has sufrido un ataque basado en SEO? ¿Conoces a alguien que ha sido víctima de este tipo de ataque? ¡Cuéntanos! Contamos con atención de casos para activistas, periodistas y personas defensoras de derechos humanos. 

Además de poderte ayudar, nos interesa documentar cómo suelen darse este tipo de ataques en contra de actores de la sociedad civil en América Latina. Si crees que has tenido una experiencia con este tipo de ataques, no dudes en contarnos. ¡Nos dará gusto saber de ti! Escribe a seguridad@socialtic.org

Fuentes de información

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Tabla de contenido

Tabla de Contenido