Una amenaza de seguridad Web relacionada con el posicionamiento SEO ha sido detectada por Akamai Technologies. La sofisticada campaña de posicionamiento utiliza inyecciones SQL para atacar a sitios web concretos, los cuales distribuirían enlaces HTML escondidos que confunden los “bots” de los motores de búsqueda e influye de forma errónea en los rankings de páginas. Hasta hora y durante un periodo de dos semana en el tercer trimestre de 2015 se ha observado más de 3.800 sitos web y 348 direcciones IP únicas participando en varias campañas, lo que desveló los siguientes resultados clave:
- Una evidencia de modificación (defacement) masiva. Cuando se buscó en Internet los enlaces HTML que se utilizaron como parte de esta campaña, se identificó cientos de aplicaciones web que contenían estos enlaces maliciosos.
- Los ataques manipulaban los resultados de los motores de búsqueda cuando se buscaba una combinación de palabras comunes como “cheat” (engañar) y “stories” (historias).Era patente que la aplicación “cheating stories” (historias de engaños) aparecía en la primera página de los principales motores de búsqueda.
- Las analíticas mostraron el impacto de los ataques. Al estudiar las analíticas de Alexa y el ranking de la aplicación “cheating stories” se incrementó de forma drástica durante los tres meses estudiados.
Los motores de búsqueda utilizan algoritmos específicos para determinar los rankings de páginas y la indexación para los sitios en la web. El número y reputación de enlaces que redireccionan a la aplicación web influyen en estos rankings. Los atacantes SEO crearon una cadena de enlaces externos que direccionan a historias de engaños e infidelidad en la web para imitar a un contenido web normal y afectar los algoritmos del motor de búsqueda.
Para protegernos de estos ataques se recomienda en el caso de los desarrolladores de aplicaciones Web, asegurarse de tener implementados los chequeos de validación de entrada adecuados para todos los datos proporcionados por los usuarios que se utilizarán en el marco de una petición de base de datos de back-end. Además, es importante utilizar estados preparados con peticiones parametrizadas a la hora de crear solicitudes SQL basadas en datos proporcionados por usuarios. En el caso de los defensores de aplicaciones Web, se sugiere un despliegue un Cortafuegos de Aplicaciones Web (Web Application Firewall – WAF) que esté configurado en modo de bloqueo contra ataques de Inyección SQL y monitorizar el formato del cuerpo de respuesta HTML, lo que ayudará a identificar si existen importantes cambios como un incremento del número de enlaces web.