Envenenamiento SEO, la estrategia que usan los atacantes para colarte una app de IPTV maliciosa

Generada con IA

Los cibercriminales aprovechan el posicionamiento de webs maliciosas para engañar a los usuarios e infectar con malware sus dispositivos, un peligro real.

Ten siempre mucho cuidado con lo que buscas en Google y otros motores, ya que podrías acceder a páginas web tras las que se ocultan cibercriminales que pretenden robarte tus datos.

Esta técnica es lo que se conoce como envenenamiento SEO –SEO poisoning en el concepto original en inglés–, una estrategia que camufla software malicioso entre los resultados principales que aparecen en el buscador, en muchas ocasiones ocupando las primeras posiciones en los resultados.

También conocida como black hat SEO –SEO de sombrero negro, por su traducción al español–, esta técnica es muy difícil de identificar, ya que los atacantes consiguen engañar al buscador a través de técnicas básicas de posicionamiento SEO.

El SEO –Searche Engine Optimization– ofrece a buscadores como el de Google facilidades para posicionar diferentes contenidos, en relación a las búsquedas mayoritarias de los usuarios, incluyendo hipervínculos o palabras clave.

Al envenenar los resultados de búsqueda, incluso con contenidos patrocinados que se hacen pasar por legítimos, los cibercriminales engañan a Google, posicionan su contenido entre los resultados principales y consiguen instalar malware en las máquinas de las víctimas.

Aunque se hace especialmente difícil reconocer estas páginas web, existen algunos consejos a tener en cuenta para no caer en las redes de los atacantes y navegar por internet de forma segura.

Cómo engañan los cibercriminales al buscador de Google

Imagina que quieres visitar la portada de Computer Hoy y buscas ambos términos en Google. En la primera posición, seguramente aparezca el dominio computerhoy.20minutos.es, que es el oficial y el legítimo.

En una estrategia de envenenamiento SEO, los atacantes aprovecharían este dominio legítimo, con las mismas palabras clave, pero con elementos que no deberían estar presentes; por ejemplo, con el dominio computerhoy-20minutos.es. Un solo carácter podría llevar al desastre, como puedes ver.

Es algo muy habitual y se puede ver claramente con una de las últimas investigaciones de inteligencia de Zscaler, en la que se muestran varios ejemplos con búsquedas relacionadas con herramientas de inteligencia artificial, en principio, legítimas.

Los analistas de seguridad de la compañía tuvieron en cuenta varias herramientas de IA, como Vidar, Lumma y Legion Loader. Mediante una búsqueda en Google del término "Luma AI Blog", en la tercera posición descubrieron un enlace colado por cibercriminales para instalar malware en el dispositivo de la víctima.

Según informó INCIBE –Instituto Nacional de Ciberseguridad–, este malware se había dedicado a robar información durante los últimos años, con la detección por parte de Microsoft de más de 394.000 infectados tan solo en el período de marzo a mayo de 2025.

Afortunadamente, en una operación conjunta de Microsoft y Europol, se procedió al desmantelamiento de Lumma, con la interrupción de su infraestructura técnica y el consiguiente bloqueo de las comunicaciones con las víctimas.

Por desgracia, esta no es la única familia de malware que aprovecha el envenenamiento SEO, perfeccionado también con el avance imparable de la inteligencia artificial generativa y en ámbitos tan variopintos como el de los servicios IPTV para ver el fútbol gratis.

Cómo evitar caer en la trampa del envenenamiento SEO

Existen numerosas herramientas maliciosas asociadas a esta estrategia. Entre algunos de los ejemplos que menciona Check Point, aparecen Gootloader, BatLoader –que redirige a foros con mensajes falsos– o Solarmarker –que engaña a trabajadores en remoto para descargar PDF falsos–.

En ciberseguridad, nunca hay una técnica o estrategia infalible, aunque existen algunas recomendaciones esenciales para evitar acceder a una página web maliciosa.

La primera herramienta esencial es VirusTotal, a la que puedes acceder desde este enlace. Gracias a ella, podrás copiar la dirección sospechosa –sin entrar en ella– y verificar si las principales aplicaciones de ciberseguridad la reconocen como ilegítima.

Gracias a VirusTotal, también puedes subir archivos ejecutables –sin ejecutarlo en tu máquina– para saber si esconden algún tipo de malware, como troyanos, adware o spyware, así como buscar directamente una URL, dirección IP, dominio o archivo hash.

Si prefieres realizar una revisión manual de los enlaces o los sitios web, ten en cuenta siempre lo siguiente:

  • Revisa la URL. Puedes echar un vistazo a faltas de ortografía, caracteres extraños como guiones o elementos aleatorios que provocan que los servidores legítimos se puedan confundir.
  • Evita los contenidos patrocinados. Aunque suene demasiado rotundo, algunos sitios maliciosos se han llegado a camuflar en esta primera sección que aparece en las búsquedas de Google. Un poco más abajo, podrás comprobar si ese anuncio es legítimo, ya que aparecerá la página oficial.
  • Sospecha de los diseños extraños. En muchas ocasiones, los sitios web ilegítimos no cuentan con un diseño muy accesible, así que desconfía siempre si te topas con fuentes extrañas o elementos que no deberían estar ahí. Por desgracia, el uso de la IA generativa ha perfeccionado estos elementos, así que una revisión con VirusTotal nunca está de más.
  • Usa siempre un firewall. El cortafuegos es obligatorio, ya que es la principal barrera para protegerte de las páginas potencialmente maliciosas de internet. En cada búsqueda, una política de confianza cero es esencial.
  • No descargues archivos ni ofrezcas tus datos. Si ya has entrado en una página y te pide rellenar un formulario, no lo completes rápidamente con tu información. Adicionalmente, no descargues ni instales nada o te enfrentarás a un posible malware.

En el ámbito del envenenamiento SEO, los cibercriminales aprovechan la figura más vulnerable de la cadena de ciberseguridad, como es el ser humano. Por ello, siempre conviene recabar información de la página que estás visitando.

Otros artículos interesantes: