Cada día se descubren nuevas campañas maliciosas que aprovechan las noticias más populares en Internet para extender el malware; muchas de ellas relacionadas con desastres o muertes de personajes famosos. A este respecto, Sophos ha publicado un análisis sobre cómo los atacantes han creado herramientas automatizadas que usan métodos SEO (Search Engine Optimization, optimización de posicionamiento en los motores de búsqueda) para explotar noticias trágicas de última hora en su propio beneficio.

Los hackers han encontrado en SEO un buen arma para rentabilizar sus actividades

En el pasado, la muerte de celebridades como Michael Jackson, Stephen Gately del grupo Boyzone y Natasha Richardson, así como los problemas matrimoniales de Sandra Bullock, han proporcionado jugosos contenidos para los hackers, que intentan aprovechar el interés general por estas noticias.

Después de dos atentados suicidas con bombas en el metro de Moscú con 39 muertes confirmadas, Sophos advierte que éste es exactamente el tipo de noticia que puede movilizar los ataques maliciosos con SEO y a los creadores de malware.

"Cuando tragedias tan terribles como ésta tienen lugar, todo el mundo acude a Internet para encontrar más información, y los hackers lo saben", argumenta Fraser Howard, director de investigación de virus de Sophos. "Después de la muerte de la entrenadora de ballenas en el “Sea World de Florida” por una orca, los piratas informáticos utilizaron técnicas SEO para llenar de “trampas explosivas” las páginas web relacionadas con esta información. Este tipo de especulación no es sólo desagradable, sino que también es potencialmente peligrosa para millones de usuarios de Internet".

El documento técnico, titulado "Búsquedas envenenadas”: ¿Cómo los hackers han automatizado los ataques a los motores de búsqueda para distribuir malware?", realizado por los investigadores de Sophos, Fraser Howard y Onur Komili, detalla cómo se ha convertido en algo rutinario para los atacantes la distribución de malware de diferentes maneras.

Las tácticas más comunes

• Un falso antivirus: inunda los usuarios con falsas alertas de seguridad con el fin de inducirlos a caer en el pago de un producto falso de seguridad, o a la instalación de más código malicioso.
• Página de SEO: página repletas de “palabras clave” erróneas, diseñada para que aparezca en un lugar destacado en los resultados del buscador, pero que dirige a los usuarios a sitios peligrosos. A veces llamado páginas SEO envenenadas.
• Herramientas maliciosas de SEO: son las aplicaciones utilizadas para crear y gestionar un ataque basado en SEO. Son responsables de generar páginas para los motores de búsqueda y cuyos resultados dirigirán a los usuarios a las webs corruptas. A menudo, estos kits se actualizan automáticamente con la información acerca de las últimas noticias mediante la consulta de recursos, como Google Trends.
• El “envenenamiento” SEO: el proceso de engañar a los motores para aparecer en lo más alto de los resultados de búsqueda.
• Rastreador de motores de búsqueda: un “robot web” o una “araña”. Se refiere a un programa que navega por Internet de manera automatizada, con el fin de indexar páginas y recopilar datos que puedan ser fácilmente buscados.
• En el centro de cualquier ataque malicioso a base de SEO está la necesidad de alimentar el contenido de los rastreadores de motores de búsqueda, a la vez que remitir a los usuarios para que accedan a la página web de un sitio malicioso. La mayoría de herramientas maliciosas que utilizan SEO puede diferenciar si el visitante a la web es un motor de búsqueda que recopila información, o es un usuario que visita el sitio a través de un enlace del buscador o, incluso, si es un grupo de curiosos visitando la página directamente.

Prevención y protección

 Aunque el crecimiento en el uso de estas tácticas maliciosas es un problema creciente, Sophos considera que los TI y los administradores de red pueden llevar a cabo una serie de medidas sencillas para protegerse.

Como ocurre con muchos otros ataques basados en Internet, el filtrado de URL y los controles de contenido a menudo proporcionan la protección más eficaz contra los ataques basados en SEO. El seguimiento activo de cualquiera de ellos permite la recogida de información de la URL en cuestión, que puede ser incluida, rápidamente, en una lista negra.

"La distribución de malware a través de ataques SEO puede ser descrita fácilmente como “hermosa” en su sencillez, pero hay algunas medidas eficaces que las empresas pueden tomar para protegerse. Con sólo añadir detección a determinadas cargas de contenidos, a la vez que se realiza el seguimiento diligente y filtrado de contenido fijo, los administradores de red pueden frustrar un ataque antes de que llegue al usuario. Proveer de detección pertinente para todos los componentes ofrece la protección más eficaz", concluye Howard.