A través del secuestro de URL (también conocido como URL hijacking), tu página puede ser eliminada del índice del buscador, lo que la oculta a todas las visitas po­te­n­cia­les. Este fenómeno se produce cuando en lugar de enlaces directos se recurre a los re­di­re­c­cio­na­mie­n­tos.

¿Qué es el secuestro de URL?

Por secuestro de URL se entiende una forma de ci­be­r­cri­mi­na­li­dad que hace des­apa­re­cer una página de la lista de re­su­l­ta­dos y la sustituye por otra. Esta segunda página enlaza a la página verdadera, pero no por un enlace directo con la etiqueta <a> de HTML, sino mediante una re­di­re­c­ción. En este ejemplo se enlaza a tu-pagina.es desde pagina-que-enlaza.es con un redirect:

www.pagina-que-enlaza.es/redirect.php?target=www.tu-pagina.es

Cuando el buscador se topa con un enlace de este tipo, in­te­r­pre­ta que ambas páginas son idénticas, lo que tiene como co­n­se­cue­n­cia que borra a una de ellas del índice, como si se tratara de un duplicado. Para llevar a cabo esta acción, el buscador se orienta por los códigos de estado HTTP propios de las re­di­re­c­cio­nes.

Mientras el código 301 indica una re­di­re­c­ción pe­r­ma­ne­n­te (Moved pe­r­ma­ne­ntly) al dominio indicado, el código 302 se utiliza para señalar una re­di­re­c­ción temporal (Found) y, mientras el primero no resulta pro­ble­má­ti­co, el segundo sí permite el secuestro de URL. Este tipo de re­di­re­c­ción temporal, que no trae consigo ninguna co­m­pro­ba­ción de la relación entre ambas páginas, sugiere al crawler del buscador que la página a donde se enlaza solo existe durante un plazo de tiempo limitado y que la enlazada es la verdadera, de modo que la web falsa entra a formar parte del índice del buscador, re­ci­bie­n­do así el po­si­cio­na­mie­n­to de la verdadera.

Dominios web
Compra y registra tu dominio ideal
  • Tu dominio protegido con Ce­r­ti­fi­ca­do SSL Wildcard gratis
  • Función Domain Connect para una co­n­fi­gu­ra­ción DNS si­m­pli­fi­ca­da gratis
  • Registro privado y gratis para mayor seguridad

Redirect 301 y 302: cuándo y por qué se utilizan

La re­di­re­c­ción de dominios se lleva a cabo por di­fe­re­n­tes motivos. Una práctica muy extendida consiste en utilizar el código 301 para desviar de forma pe­r­ma­ne­n­te los dominios con errores ti­po­grá­fi­cos al correcto, de forma que si se teclea en la barra de búsqueda del navegador googel.es en lugar de google.es se abre la página principal del buscador. También es habitual reenviar a la dirección correcta de la página principal.

Por ejemplo, al abrir la página principal de Wikipedia en español en es.wikipedia.org, un desvío del tipo 301 conduce a la URL https://es.wikipedia.org/wiki/Wikipedia:Portada. Los ad­mi­ni­s­tra­do­res también utilizan las re­di­re­c­cio­nes pe­r­ma­ne­n­tes cuando, tras un cambio de dominio, se pretende dirigir a las visitas al dominio nuevo o marcar de forma correcta a los co­n­te­ni­dos de páginas con una nueva dirección web.

Por el contrario, las re­di­re­c­cio­nes del tipo 302 tienen la función pri­mo­r­dial de presentar contenido en un dominio diferente de forma te­m­po­ra­l­me­n­te limitada, por ejemplo, en caso de llevar a cabo labores de ma­n­te­ni­mie­n­to. Cuando un webmaster genera este desvío manual, por lo general lo hace con la intención de que el contenido vuelva a aparecer en la página original en algún momento. No obstante, se dan tres es­ce­na­rios de re­di­re­c­ción temporal que pueden conducir al secuestro de URL o que incluso lo tienen como objetivo.

Uso in­vo­lu­n­ta­rio de la re­di­re­c­ción 302

Es posible que haya ad­mi­ni­s­tra­do­res que enlacen a un proyecto externo mediante un desvío temporal sin que haya una mala intención detrás. Podría tratarse de un error, porque en su lugar tendría que haberse co­di­fi­ca­do una re­di­re­c­ción pe­r­ma­ne­n­te. El módulo de re­es­cri­tu­ra de URL del servidor Apache, mod_rewrite, también crea desvíos 302 por defecto.

URL generadas de forma dinámica

PHP es clave en el de­sa­rro­llo web. Los códigos del lado del servidor escritos con este popular lenguaje de pro­gra­ma­ción son una forma sencilla y práctica de crear co­n­te­ni­dos dinámicos para la web, pero también hay scripts de PHP que enlazan di­re­c­cio­nes de forma dinámica en una URL, uti­li­za­n­do para ello el código de estado 302. Este tipo de scripts se utiliza, sobre todo, en di­re­c­to­rios para di­re­c­cio­nes web, pero también en muchos sistemas de gestión de co­n­te­ni­dos.

Secuestro de URL con in­te­n­cio­nes de­li­c­ti­vas

Los se­cue­s­tra­do­res de URL también están fa­mi­lia­ri­za­dos con el código de reenvío temporal y hacen buen uso de él para impulsar la in­de­xa­ción de sus propios co­n­te­ni­dos, “se­cue­s­tra­n­do” para ello aquellas páginas mejor po­si­cio­na­das. Esta actuación, ni so­s­te­ni­ble a largo plazo ni, de hecho, legal, se cuenta entre las im­po­pu­la­res técnicas del de­no­mi­na­do black hat SEO.

Co­m­pa­ra­ción del secuestro de URL con otros métodos de ataque

Es común confundir el secuestro de URL con otros métodos de ataque como el secuestro de dominio o el ty­po­s­qua­t­ti­ng. Sin embargo, aunque también pueden afectar al ranking de tu página web, no son lo mismo.

Secuestro de URL vs. secuestro de dominio

Aunque tanto el secuestro de URL como el secuestro de dominio se utilizan con el objetivo de tomar el control de una página web, hay una di­fe­re­n­cia clave de enfoque. En el secuestro de dominios, los atacantes pretenden hacerse con el control de un dominio ac­ce­die­n­do a las cuentas de ad­mi­ni­s­tra­ción del dominio. Para ello, se modifica, por ejemplo, la co­n­fi­gu­ra­ción DNS. De este modo, los atacantes pueden hacerse con el control de la presencia web de la víctima.

Secuestro de URL vs. ty­po­s­qua­t­ti­ng

Como su nombre indica, la técnica de ataque ty­po­s­qua­t­ti­ng saca provecho de los errores ti­po­grá­fi­cos. Por lo general, cuando el usuario comete un error al escribir una dirección web, a menudo es re­di­ri­gi­do a la página web correcta. Sin embargo, en el caso del “ty­po­s­qua­t­ti­ng”, los atacantes hacen algo diferente: registran nombres de dominio que incluyen errores de escritura comunes y usan esos nombres para llevar a los vi­si­ta­n­tes a su propia página web, la cual a menudo contiene código malicioso.

Domain checker
  • .es
  • .com
  • .net
  • .org
  • .online
  • .ai
  • .es
  • .com
  • .net
  • .org
  • .online
  • .ai

Cómo puedes proteger a tu proyecto del secuestro de URL

Cuando se trabaja en la mejora del po­si­cio­na­mie­n­to de una página, pronto se percibe lo exigente de esta labor. Cuanto más alto escala una web en la cima del buscador, mayor es la pro­ba­bi­li­dad de que esté en la mira de algún se­cue­s­tra­dor de URL. A di­fe­re­n­cia de lo que ocurre, por ejemplo, en un ataque de­te­r­mi­na­do por una vu­l­ne­ra­bi­li­dad en el proyecto, el fu­n­cio­na­mie­n­to del hijacking está ligado de forma estrecha a una di­s­ci­pli­na elemental de SEO como es el link building y, por ello, es muy difícil de impedir con un software de seguridad. En co­n­se­cue­n­cia, es necesario analizar re­gu­la­r­me­n­te los backlinks, tanto aquellos nuevos como aquellos ya exi­s­te­n­tes, para filtrar dominios co­n­fli­c­ti­vos.

Para ello, existe un gran número de he­rra­mie­n­tas y servicios online como:

Esta última contiene una he­rra­mie­n­ta para eliminar URL, que permite borrar del índice de búsqueda re­di­re­c­cio­nes a un proyecto web que no deberían estar ahí. Antes de hacerlo es re­co­me­n­da­ble contactar con el ad­mi­ni­s­tra­dor co­rre­s­po­n­die­n­te para que ajuste la re­di­re­c­ción, de tal forma que no se pierdan los enlaces. A este propósito, el código de estado 307 (Temporary Redirect), di­s­po­ni­ble desde HTTP 1.1, permite llevar a cabo desvíos te­m­po­ra­les sin riesgo de hijacking.

Cuando la página original ya ha sido eliminada del índice, lo indicado sería entonces, contactar con el proveedor del buscador una vez eliminado el enlace dañino y solicitar una re­cu­pe­ra­ción del ranking previo.

Ir al menú principal