Hace ya años que no se actualiza este blog, y creo que es hora de volver a escribir por aquí, no prometo nada, pero espero volver a tener algún artículo nuevo por aquí. Por ahora vamos a empezar por un caso que me ha pasado este año, y no solo una vez, sino dos, e investigando un poco más veo que no soy al único que le ha pasado. En este caso es el Hijacking en las SERPs de Google sin ningún tipo de hackeo ni acceso a tu propia página web, es decir, que la web atacante consigue cambiar sus resultados en las SERPs por las de tu web. Para que os hagáis una idea, aquí os pongo un ejemplo ficticio, con el antes y el después:

Buscando en los foros de Google hay bastantes webmasters que les pasa exactamente lo mismo:

La verdad que sin vivirlo en mis propias carnes, no me creería que una web, sin tocar tu página web, puede conseguir cambiar tus resultados por los suyos, pero si, puede pasar. La buena noticia es que, por lo que he visto, es un proceso más o menos aleatorio, es decir, si te atacan de esta manera, pueden aparecer sus resultados, pero es muy probable que no lo consigan, por eso atacan a destajo a miles de webs, hasta que lo consiguen con alguna, o con algunos resultados. Voy a explicaros un poco en que consiste.

Algunas premisas para entender este tipo de hijacking

  • La web atacante hace un clon de tu web con llamadas directas a tu server
  • Cada vez que cambias algo en tu web o server, aparece en la web atacante
  • Cambian ciertas partes como enlaces externos, analytics, logo, etc
  • Tu web no está hackeada ni se ha tocado nada de manera externa

En definitiva, es un mirror de tu propia web, cambiando ciertas cosas como logo, quitan analytics, y otras partes pero todo sigue cargando directamente desde tu servidor. Por ejemplo, si subes algo al ftp de tu servidor, aparecerá directamente en su dominio. Con esto pude hacer ciertas pruebas de lo que se tragaba y no se tragaba. Por ejemplo el .htaccess no, pero si podía meter una redirección mediante html. Por ejemplo este es el número de clicks que conseguí con una redirección durante unas horas:

Una vez que tienen la web clonada

  • Indexan la web que es una copia exacta de la tuya
  • Generan clicks falsos a traves de Google hacia tu web
  • Generan visitas a traves de sus granja de webs clonadas
  • Y harán otras cosas que no tengo ni la menor idea…

Como dije anteriormente todo este proceso es masivo y lo hacen con miles y miles de webs, y en general no suelen hacer un ataque concreto, sino que lo irán haciendo por listados y listados de web. Una vez que han hecho este proceso anterior, puede pasar dos cosas, lo más normal es que no pase nada, o la peor de las dos, que la web espejo empiece a reemplazar los resultados en Google de la web atacada.

Si funciona el ataque de hijacking

  • Empieza a aparecer su dominio en la cache de Google de tu web
  • Empiezan a cambiar resultados de páginas secundarias por la web atacante
  • Empiezan a cambiar resultados principales por los de la web atacante
  • La web atacante acaba apareciendo por todos los resultados de la web atacada

En definitiva, te empiezan a robar visitas, y como supondréis, la publicidad que meten es lo más agresiva que puede ser, y como Google se piensa que es tu web, puede tener consecuencias muy negativas en un futuro. Una vez que pasa esto estás jodido, pero que no cunda el pánico, todo tiene solución, eso si, si has llegado a este punto seguramente tus resultados en Google estarán suplantados durante unos cuantos días, y cuanto antes le pongas solución mejor.

Solución para el Hijacking en las SERPs de Google

Preguntando en los foros de Google me recomendaron lo siguiente:

  • Contactar con el departamento de abuso de la web atacante (hosting, servicio de dominio,
  • etc…)
  • Enviar un spam report a Google
  • Enviar un aviso de DMCA a Google

Ninguna de estas soluciones me ha servido para nada. Por un lado el hosting de las webs atacantes suelen ser servidores rusos, polacos, y demás paises que suelen pasar bastante de todo, por lo que no recibi ninguna respuesta ni hicieron nada al respecto como era de esperar.
Enviar un spam report a Google es una opción, pero demasiado lenta seguramente, y en donde tan solo tienes 300 caracteres para explicar lo que ha pasado, así que descartado. Lo mismo con enviar un DMCA a Google, ya que por un lado los DMCA no están pensados para este tipo de ataques, y por otro lado, no te hacen ni caso tampoco, o tardan mucho en hacerlo.

La solución que me ha funcionado a mi:
Bloquear las ips de la web atacante en tu servidor.
Con esto consigues que la web atacante devuelva un error 500 o un error 400 al entrar en su dominio, eso si, suelen ocultar las ips a base de proxys y firewalls, y cuando le bloqueas una ip, la suelen cambiar a las pocas horas por otra nueva, por lo que tienes que hacer un trabajo constante de detección y bloqueo de nuevas ips. Cuando consigues que su web devuelva el error 500 durante unos días, Google vuelve a mostrar los resultados de tu web poco a poco, y las caches vuelven a ser las de tu propio dominio.

También recomiendo hacer esto de manera preventiva, es decir, si te das cuenta de que alguna web te está haciendo está, bloquea sus ips y no dejes que muestre tu contenido, ya que a posteriori la cosa se puede complicar más.

¿Como detectarlo antes? Pues a traves de los logs de servidor, o a veces, pueden salirte pistas en search console, como enlaces entrantes o enlaces salientes de webs que no son tuyas o que desconoces totalmente.

Espero que este artículo haya servido de ayuda a alguien, ya que a mi me ha pasado ya un par de veces, y en el momento no sabes bien como actuar. De echo si no me llega a pasar, me costaría creer que Google caiga en trampas tan “cutres” como estas y pueda llegar a suplantar el resultado de una web por otra. Si podéis dar algo más de luz de este asunto o tenéis experiencias similares, se agradecen los comentarios :)