El Blog para Webmasters
Noticias en castellano sobre el rastreo e indexación de sitios web en el buscador Google
#nohacked:Como identificar un caso particular de hackeo (parte 1): inyecciones de URLs con contenido autogenerado
lunes, 17 de agosto de 2015
Hoy, en nuestra campaña #nohacked hablaremos de cómo identificar y diagnosticar un sitio pirateado con urls inyectadas. Aunque tu sitio web no esté infectado con este tipo concreto de pirateo, muchos de estos pasos te pueden ser útiles para otros tipos de pirateo. La semana que viene seguiremos con una entrada sobre cómo corregir este pirateo. Puedes continuar la conversación en
Twitter
y en
Google+
usando la etiqueta #nohacked (
Parte 1
,
Parte 2
,
Parte 3
).
Identificar los síntomas
Páginas con texto autogenerado
En este tipo de pirateo, se añaden páginas con contenido fraudulento al sitio web. Estas páginas contienen texto autogenerado con gran cantidad de palabras clave, enlaces e imágenes diseñados para manipular los motores de búsqueda. Por ejemplo, en este tipo de pirateo se crean páginas como
www.example.com/pf/bajar-2015-gratis-completo-crack.html
, que contienen texto autogenerado como el siguiente:
Encubrimiento
En este tipo de pirateo se acostumbra a utilizar el
encubrimiento
para evitar que los webmasters lo detecten
. El encubrimiento consiste en la práctica de mostrar URL o contenido distintos a los webmasters, a los visitantes y a los motores de búsqueda. Por ejemplo,
el webmaster del sitio web puede ver una página vacía o HTTP 404
, lo que le puede llevar a creer que el pirateo ya no está presente. Sin embargo, a los usuarios que visiten la página desde los resultados de búsqueda se les seguirá redirigiendo a páginas con contenido fraudulento y los motores de búsqueda que rastreen el sitio web seguirán viendo el texto autogenerado.
Revisar el sitio web
Supervisar el sitio web de forma adecuada para detectar pirateo te permite ponerle fin más rápidamente y reducir los daños que pueda causar. Tienes varias formas de detectar este tipo de pirateo en un sitio web.
Buscar
un pico en el tráfico del sitio web
Como en este pirateo se crean muchas URL con muchas palabras clave que los motores de búsqueda rastrean, comprueba si se han producido picos recientes e inesperados en el tráfico. Si es así, utiliza la
herramienta Análisis de búsqueda
de Search Console para detectar si el origen de ese tráfico inusual en el sitio web se encuentra en páginas pirateadas.
Hacer el seguimiento
del aspecto del sitio web en los resultados de búsqueda
Comprobar regularmente cómo se muestra el sitio web en los resultados de búsqueda es una buena práctica para todos los webmasters, ya que permite detectar indicadores de pirateo. Puedes comprobar tu sitio web en Google usando el parámetro
site: operator
en el sitio web (p. ej., puedes buscar site:example.com). Si ves enlaces con texto autogenerado asociados a tu sitio web o una etiqueta en la que se indique "Este sitio web puede estar pirateado", puede que tu sitio web esté comprometido.
Registrarse
para recibir alertas de Google
Te recomendamos que te registres en
Search Console
para comprobar si Google ha detectado alguna página pirateada en tu sitio web con el
Visor de acciones manuales
o con el informe
Problemas de seguridad
. Search Console también te enviará un mensaje si Google detecta páginas pirateadas en tu sitio web.
También te recomendamos que configures
Alertas de Google
en el sitio web. Desde Alertas de Google se te enviará un correo electrónico si Google encuentra resultados nuevos para una consulta de búsqueda. Por ejemplo, puedes configurar una alerta de Google
para tu sitio web
junto con
términos de contenido fraudulento habituales
, como [site:example.com software barato]. Si recibes un correo electrónico en el que se indique que Google ha devuelto una nueva consulta para ese término, debes comprobar inmediatamente qué páginas del sitio web están activando la alerta.
Diagnosticar el sitio web
Herramientas útiles
En Search Console encontrarás la herramienta
Explorar como Google
, que te permite ver las páginas como Google para detectar páginas pirateadas encubiertas. En el apéndice a esta entrada encontrarás más herramientas de terceros, tanto de pago como gratuitas.
Comprobar
si hay páginas pirateadas
Si no tienes claro si hay contenido pirateado en el sitio web, la
herramienta para solucionar problemas relacionados con el pirateo de Google
puede guiarte por algunas comprobaciones básicas. Para este tipo de pirateo, realiza una búsqueda del parámetro
site:
en el sitio web. Busca páginas sospechosas y URL repletas de palabras clave extrañas en los resultados de búsqueda. Si tu sitio web contiene un gran número de páginas, puede que tengas que realizar una consulta más restringida.
B
usca términos de spam comunes
y añádelos a la consulta de búsqueda site:, por ejemplo [site:example.com software barato]. Hazlo con varios términos con contenido fraudulento para ver si se muestran resultados.
Comprobar
si hay páginas pirateadas encubiertas
Como en este tipo de pirateo se utiliza el encubrimiento para impedir que se detecte, es muy importante que utilices la herramienta Explorar como Google de Search Console para comprobar las páginas con contenido fraudulento que has encontrado en el paso anterior. Recuerda que las páginas encubiertas pueden mostrarte una página HTTP 404 que te haga pensar que el pirateo se ha resuelto aunque la página siga publicada. También debes utilizar Explorar como Google en la página principal, ya que en este tipo de pirateo a menudo se añade texto o enlaces a dicha página.
Esperamos que esta entrada te permita hacerte una idea de cómo identificar y diagnosticar formas de pirateo en las que se inyecten URL con texto autogenerado en tu sitio web. La semana que viene explicaremos cómo retirar este pirateo del sitio web. Sigue nuestras campañas en las redes sociales y comparte tus trucos y consejos sobre seguridad en Internet con el hashtag #nohacked.
Si tienes más dudas, puedes preguntar en los
Foros de ayuda para webmasters
, donde encontrarás una comunidad de webmasters que pueden ofrecerte consejo.
Apéndice
Con estas herramientas puedes analizar tu sitio web para encontrar contenido problemático. Google solo ejecuta VirusTotal y le presta asistencia, pero no lo hace con las demás.
Virus Total
,
Aw-snap.info
,
Sucuri Site Check
,
Wepawet
:
con estas
herramientas puedes analizar tu sitio web para detectar contenido problemático. Recuerda que estas herramientas de análisis no garantizan la identificación de todos los tipos de contenido problemático.
Escrito por: Eric Kuan, Webmaster Relations Specialist et Yuan Niu, Spam Analyst. Publicado por
Javier Pérez
equipo de calidad de búsqueda.
#NoHacked: usar la autenticación de dos factores para proteger tu sitio web
martes, 11 de agosto de 2015
Hoy, en nuestra campaña #nohacked, hablaremos de la autenticación de dos factores. Puedes continuar la conversación en
Twitter
y en
Google+
usando la etiqueta #nohacked (
parte 1
,
parte 2
).
Érase una vez una época en la que una contraseña más o menos segura o una pregunta de seguridaderan métodos eficaces para proteger tus cuentas online. Sin embargo, según
un estudio de Stop Badware
, el robo de credenciales es un acto habitual entre los hackers que supone un riesgo para los sitios web. Además, incluso los sitios web de mayor reputación pueden verse afectados por la piratería, con el riesgo de que los datos personales, como tus contraseñas, queden a la vista de los atacantes.
Afortunadamente, la autenticación de dos factores te permite aumentar la seguridad de tus cuentas. Para este método de autenticación, se requiere una fuente de verificación adicional, junto con tu contraseña, para acceder a tu cuenta. Es posible que ya hayas usado esta autenticación si alguna vez se te ha solicitado un código enviado a tu teléfono al iniciar sesión en algún sitio web de medios sociales o si has iniciado sesión en alguna cuenta bancaria usando un lector de tarjetas con chip. La autenticación de dos factores dificulta que otra persona inicie sesión en tu cuenta, aunque haya conseguido tu contraseña.
Como propietario de un sitio web, deberías habilitar la autenticación de dos factores en tus cuentas siempre que sea posible.
Si piratean tu cuenta, te arriesgas a perder datos personales importantes y a que la reputación de tu sitio web disminuya. Con este método de autenticación, puedes despreocuparte sabiendo que tus datos están más seguros.
En estos momentos, Google ofrece la
verificación en dos pasos
en todas las cuentas, incluidas las de los dominios de Google Apps. Puedes usar tu teléfono, un token de hardware (por ejemplo, una
llave de seguridad
) o la
aplicación Google Authenticator
para verificar tu cuenta. Estas opciones te ofrecen una mayor flexibilidad a la hora de viajar o cuando no tengas acceso a la red para móviles.
Si tu proveedor de alojamiento, tu
sistema
de gestión
de
contenido
(CMS) o la plataforma que uses para administrar tu sitio web no permite la autenticación de dos factores, solicita a su servicio de asistencia al cliente una opción para usar este tipo de autenticación en el futuro. Pueden incorporar la autenticación de dos factores en su plataforma con el
código de
software libre
de Google
. Si tu plataforma o proveedor de alojamiento no ofrece una buena protección contra el acceso no autorizado, te recomendamos que cambies de proveedor. Puedes ver una lista de sitios web que admiten la autenticación de dos factores, junto con las opciones de autenticación que ofrecen, en
https://twofactorauth.org/
.
Si tienes más dudas, puedes preguntar en los
Foros de ayuda para webmasters
, donde encontrarás una comunidad de webmasters que podrá guiarte.
Escrito por: Eric Kuan, Webmaster Relations Specialist & Yuan Niu, Webspam Analyst Publicado por
Javier Pérez
equipo de calidad de búsqueda.
#NoHacked: Cómo detectar la ingeniería social y protegerse contra ella
martes, 4 de agosto de 2015
Hoy, en nuestra campaña #nohacked, hablaremos de la ingeniería social. Puedes seguir el debate en
Twitter
y
Google+
usando el hashtag #nohacked. (
Parte 1
)
Si pasas parte de tu tiempo en la Web, es más que probable que te hayas topado con algún tipo de
ingeniería social
. La ingeniería social puede definirse como el intento de obtener información confidencial sobre las personas mediante la manipulación o mediante métodos engañosos.
Suplantación de identidad (phishing)
Es posible que te suene el "phishing", o la suplantación de identidad, una de las formas más comunes de ingeniería social. Los sitios web y los correos electrónicos usados para la suplantación de identidad imitan sitios web legítimos para tratar de engañar al usuario y que introduzca información confidencial, como el nombre de usuario y la contraseña, en tales sitios web. Un
estudio reciente de Google
descubrió que algunos sitios de suplantación de identidad engañan a las víctimas el 45% de las veces. Una vez que el sitio web de suplantación de identidad haya obtenido la información, el propietario de dicho sitio puede vender o utilizar la información de tu cuenta para manipularla.
Otras formas de ingeniería social
Si eres el propietario de un sitio web, la suplantación de identidad no es la única forma de ingeniería social que debes vigilar. Hay otro método de ingeniería social que se aprovecha del software y las herramientas usados en tu sitio web. Si realizas descargas o usas algún
sistema de gestión de contenido
(CMS) o algún tipo de complemento, asegúrate de que provengan de fuentes acreditadas, por ejemplo, descargándolos directamente desde el sitio web del programador. El software que provenga de sitios web que no estén acreditados puede suponer una amenaza que daría acceso a tu sitio web a los hackers.
Por ejemplo, la empresa de productos para mascotas El palacio de la mascota contrató recientemente al webmaster Wanda para crear su sitio web. Tras hacer algunos bocetos para el diseño, Wanda empezó a compilar el software que necesitaba para crear el sitio web. Sin embargo, descubrió que uno de los complementos de retoque fotográfico que más le gustaba, Photo Frame Beautifier, ya no estaba disponible en el sitio web de complementos oficial de su sistema de gestión de contenido y que el programador del complemento había decidido dejar de aceptarlo. Wanda hizo una búsqueda rápida y encontró un sitio web que ofrecía un archivo de complementos antiguos. Decidió descargar el complemento y usarlo para completar el sitio web. Dos meses más tarde, Wanda recibió una notificación de Search Console que le informaba de que habían pirateado el sitio web de su cliente.Rápidamente, se encargó de corregir el contenido pirateado y descubrió cuál era la raíz del problema. Resultó que el complemento Photo Frame Beautifier había sido modificado para permitir que terceras partes maliciosas tuvieran acceso al sitio.Eliminó el complemento, corrigió el contenido pirateado, protegió el sitio contra futuros ataques y envió una solicitud de reconsideración con Search Console. Como puedes ver, el descuido involuntario de Wanda hizo que el sitio web de su cliente acabara comprometido.
Protegerse de los ataques de ingeniería social
La ingeniería social resulta efectiva porque no es obvio que se esté cometiendo un error. Sin embargo, hay algunos puntos básicos que se deben tener en cuenta para protegerse de la misma.
Mantente alerta: Cuando vayas a introducir algún tipo de información confidencial o instales el software de algún sitio web, conviene hacerlo con cierta dosis de escepticismo sano. Comprueba las URL para asegurarte de que no estás escribiendo información confidencial en sitios web maliciosos. Cuando vayas a instalar software de un sitio web, asegúrate de que proviene de fuentes conocidas y acreditadas, como el sitio web del programador.
Usa métodos de autenticación de dos factores: La autenticación de dos factores como la
verificación en dos pasos
de Google, añade una capa adicional de seguridad que ayuda a proteger la cuenta, incluso si han robado la contraseña. Deberías habilitar una autenticación de dos factores en todas las cuentas en las que sea posible. Durante la semana que viene, daremos información más detallada sobre las ventajas de la autenticación de dos factores.
Recursos adicionales sobre la ingeniería social:
Más información sobre
cómo protegerte de los ataques de suplantación de identidad
Denunciar una página de suplantación de identidad
Evitar trampas y denunciarlas a Google
Identificar correos electrónicos de "phishing" o "spoofing"
Si tienes más dudas, puedes preguntar en los
Foros de ayuda para webmasters
donde encontrarás una comunidad de webmasters que podrá guiarte. Además, puedes unirte a nuestro
Hangouts
en directo
(en inglés) sobre seguridad el día 26 de Agosto.
Escrito por: Eric Kuan, Webmaster Relations Specialist & Yuan Niu, Webspam Analyst Publicado por
Javier Pérez
equipo de calidad de búsqueda.
Etiquetas
Academia para webmasters
4
accesibilidad
27
acciones
1
acciones manuales
4
ajax
1
alt
1
amp
10
analíticas de Google
1
angular universal
1
anomalias
1
api
2
api psi
1
api search analytics
2
articulos
2
artículos
1
asistente
1
avanzado
16
blog
2
Botón +1
7
búsqueda
2
busqueda de google
1
calidad
1
casos de exito
1
centro de ayuda
1
centro de datos
1
certificación
1
certificado
1
chrome
3
chromium
1
cobertura del índice
3
cocina
1
codelab
1
codigo fuente
1
colaboradores principales
1
comentarios
1
comunicación
23
comunidad
1
conexión cifrada
1
consejos
99
consola de firebase
1
contenido
1
contenido duplicado
1
criterios de posicionamiento
2
cuadro de busqueda
2
danny sullivan
1
data-nosnippet
1
datos agregados
1
datos de campo
1
datos de experimentos
1
datos estructurados
16
dcl
1
desarrolladores
2
devtools
1
diagnostico
1
directrices para webmasters
30
directrices tecnicas
1
discover
1
diseño adaptable
1
DOM Content Loaded
1
dominio
1
empleo
3
empresa local
1
enlaces
9
enlaces artificiales
1
enlaces fraudulentos
1
errores de marcado
1
evaluadores
1
event
1
eventbrite
1
evento global
1
eventos
23
experiencia de usuario
1
experto de producto
1
experto producto
1
expertos de producto
2
expertos producto
2
express.js
1
facturacion
1
faq
1
fcp
1
fechas
2
ficha de empresa
1
First Contentful Paint
1
flujo de validación de problemas
1
foro
26
foro de editores
1
fragmentos de texto
1
fragmentos destacados
1
github
1
google analytics
1
google cloud platform
1
google i/o
1
google imágenes
2
google news
1
google noticias
1
google play instant
1
guía inicio rápido
1
guia seo
1
herramientas para webmasters
123
home
1
horas
1
html
5
http
1
https
3
imagenes
1
indexacion
2
indexing
1
informe de recetas
1
informe de rendimiento
5
informe de transparencia
1
informe spam
1
inspección de url
4
iso 8601
1
javascript
1
jobposting
2
jobrapido
1
kitten corner
1
lighthouse
3
logotipo
2
max-image-preview
1
max-snippet
1
max-video-preview
1
metaetiqueta
1
mfi
1
middleware
1
móvil
21
moviles
1
navegación segura
2
no segura
1
no seguro
1
nosnippet
1
optimizar sitio web
1
oro
1
pagespeed
3
penguin
1
pki
1
plata
1
platino
1
politicas de contenido
1
prácticas recomendadas
2
preguntas y respuestas
1
producto
1
productos y servicios
40
prueba de optimizacion para moviles
1
rakuten
1
rastreo e indexación
100
recaptcha
1
receta
1
recetas
1
reconsideraciones
2
renderizado dinamico
1
Rendertron
1
rendimiento
12
reseña
1
resultados de búsqueda
94
resultados enriquecidos
2
robot
1
robot noindex
1
ruta de navegacion
1
safe browsing
1
Search Console
20
seguridad
13
servidor
1
site clinic
10
Site Reliability Engineering
1
sitemaps
14
sitios pirateados
1
software malicioso
1
software no deseado
1
spam
2
ssl
1
symantec
1
tarifas
1
titulares
1
tls
1
twitter
4
url
1
url canonica
1
url canonicas
1
url de referencia
1
usuarios destacados
1
velocidad
3
verificacion dns
1
vídeo
82
videos
1
web light
1
webmaster
2
webspam
3
youtube
1
zona horaria
1
Archivo del blog
2020
nov
sept
ago
jul
jun
may
abr
mar
feb
ene
2019
dic
nov
oct
sept
jun
abr
mar
feb
ene
2018
dic
nov
oct
jul
jun
may
abr
feb
ene
2017
dic
nov
sept
ago
jul
jun
abr
mar
ene
2016
nov
sept
ago
may
abr
mar
ene
2015
dic
nov
oct
sept
ago
#nohacked:Como identificar un caso particular de h...
#NoHacked: usar la autenticación de dos factores p...
#NoHacked: Cómo detectar la ingeniería social y pr...
jul
may
abr
mar
ene
2014
nov
oct
sept
ago
jun
may
abr
mar
feb
ene
2013
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2012
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2011
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2010
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2009
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2008
dic
nov
oct
sept
Feed
Follow @googlewmc
Recursos para webmasters
Foro para Webmasters
Centro de Asistencia
Google Search Console
Google Webmaster en castellano