Secuestro de URL: en qué consiste

A través del secuestro de URL (también conocido como URL hijacking), tu página puede ser eliminada del índice del buscador, lo que la oculta a todas las visitas potenciales. Este fenómeno se produce cuando en lugar de enlaces directos se recurre a los redireccionamientos.

¿Qué es el secuestro de URL?

Por secuestro de URL se entiende una forma de cibercriminalidad que hace desaparecer una página de la lista de resultados y la sustituye por otra. Esta segunda página enlaza a la página verdadera, pero no por un enlace directo con la etiqueta <a> de HTML, sino mediante una redirección. En este ejemplo se enlaza a tu-pagina.es desde pagina-que-enlaza.es con un redirect:

www.pagina-que-enlaza.es/redirect.php?target=www.tu-pagina.es

Cuando el buscador se topa con un enlace de este tipo, interpreta que ambas páginas son idénticas, lo que tiene como consecuencia que borra a una de ellas del índice, como si se tratara de un duplicado. Para llevar a cabo esta acción, el buscador se orienta por los códigos de estado HTTP propios de las redirecciones.

Mientras el código 301 indica una redirección permanente (Moved permanently) al dominio indicado, el código 302 se utiliza para señalar una redirección temporal (Found) y, mientras el primero no resulta problemático, el segundo sí permite el secuestro de URL. Este tipo de redirección temporal, que no trae consigo ninguna comprobación de la relación entre ambas páginas, sugiere al crawler del buscador que la página a donde se enlaza solo existe durante un plazo de tiempo limitado y que la enlazada es la verdadera, de modo que la web falsa entra a formar parte del índice del buscador, recibiendo así el posicionamiento de la verdadera.

¡Dominio GRATIS!

¡Consigue tu dominio gratis con IONOS!

Simple
Seguro
Asistencia 24/7

Redirect 301 y 302: cuándo y por qué se utilizan

La redirección de dominios se lleva a cabo por diferentes motivos. Una práctica muy extendida consiste en utilizar el código 301 para desviar de forma permanente los dominios con errores tipográficos al correcto, de forma que si se teclea en la barra de búsqueda del navegador googel.es en lugar de google.es se abre la página principal del buscador. También es habitual reenviar a la dirección correcta de la página principal.

Por ejemplo, al abrir la página principal de Wikipedia en español en es.wikipedia.org, un desvío del tipo 301 conduce a la URL https://es.wikipedia.org/wiki/Wikipedia:Portada. Los administradores también utilizan las redirecciones permanentes cuando, tras un cambio de dominio, se pretende dirigir a las visitas al dominio nuevo o marcar de forma correcta a los contenidos de páginas con una nueva dirección web.

Por el contrario, las redirecciones del tipo 302 tienen la función primordial de presentar contenido en un dominio diferente de forma temporalmente limitada, por ejemplo, en caso de llevar a cabo labores de mantenimiento. Cuando un webmaster genera este desvío manual, por lo general lo hace con la intención de que el contenido vuelva a aparecer en la página original en algún momento. No obstante, se dan tres escenarios de redirección temporal que pueden conducir al secuestro de URL o que incluso lo tienen como objetivo.

Uso involuntario de la redirección 302

Es posible que haya administradores que enlacen a un proyecto externo mediante un desvío temporal sin que haya una mala intención detrás. Podría tratarse de un error, porque en su lugar tendría que haberse codificado una redirección permanente. El módulo de reescritura de URL del servidor Apache, mod_rewrite, también crea desvíos 302 por defecto.

URL generadas de forma dinámica

PHP es clave en el desarrollo web. Los códigos del lado del servidor escritos con este popular lenguaje de programación son una forma sencilla y práctica de crear contenidos dinámicos para la web, pero también hay scripts de PHP que enlazan direcciones de forma dinámica en una URL, utilizando para ello el código de estado 302. Este tipo de scripts se utiliza, sobre todo, en directorios para direcciones web, pero también en muchos sistemas de gestión de contenidos.

Secuestro de URL con intenciones delictivas

Los secuestradores de URL también están familiarizados con el código de reenvío temporal y hacen buen uso de él para impulsar la indexación de sus propios contenidos, “secuestrando” para ello aquellas páginas mejor posicionadas. Esta actuación, ni sostenible a largo plazo ni, de hecho, legal, se cuenta entre las impopulares técnicas del denominado black hat SEO.

Comparación del secuestro de URL con otros métodos de ataque

Es común confundir el secuestro de URL con otros métodos de ataque como el secuestro de dominio o el typosquatting. Sin embargo, aunque también pueden afectar al ranking de tu página web, no son lo mismo.

Secuestro de URL vs. secuestro de dominio

Aunque tanto el secuestro de URL como el secuestro de dominio se utilizan con el objetivo de tomar el control de una página web, hay una diferencia clave de enfoque. En el secuestro de dominios, los atacantes pretenden hacerse con el control de un dominio accediendo a las cuentas de administración del dominio. Para ello, se modifica, por ejemplo, la configuración DNS. De este modo, los atacantes pueden hacerse con el control de la presencia web de la víctima.

Secuestro de URL vs. typosquatting

Como su nombre indica, la técnica de ataque typosquatting saca provecho de los errores tipográficos. Por lo general, cuando el usuario comete un error al escribir una dirección web, a menudo es redirigido a la página web correcta. Sin embargo, en el caso del “typosquatting”, los atacantes hacen algo diferente: registran nombres de dominio que incluyen errores de escritura comunes y usan esos nombres para llevar a los visitantes a su propia página web, la cual a menudo contiene código malicioso.

Cómo puedes proteger a tu proyecto del secuestro de URL

Cuando se trabaja en la mejora del posicionamiento de una página, pronto se percibe lo exigente de esta labor. Cuanto más alto escala una web en la cima del buscador, mayor es la probabilidad de que esté en la mira de algún secuestrador de URL. A diferencia de lo que ocurre, por ejemplo, en un ataque determinado por una vulnerabilidad en el proyecto, el funcionamiento del hijacking está ligado de forma estrecha a una disciplina elemental de SEO como es el link building y, por ello, es muy difícil de impedir con un software de seguridad. En consecuencia, es necesario analizar regularmente los backlinks, tanto aquellos nuevos como aquellos ya existentes, para filtrar dominios conflictivos.

Para ello, existe un gran número de herramientas y servicios online como:

Esta última contiene una herramienta para eliminar URL, que permite borrar del índice de búsqueda redirecciones a un proyecto web que no deberían estar ahí. Antes de hacerlo es recomendable contactar con el administrador correspondiente para que ajuste la redirección, de tal forma que no se pierdan los enlaces. A este propósito, el código de estado 307 (Temporary Redirect), disponible desde HTTP 1.1, permite llevar a cabo desvíos temporales sin riesgo de hijacking.

Cuando la página original ya ha sido eliminada del índice, lo indicado sería entonces, contactar con el proveedor del buscador una vez eliminado el enlace dañino y solicitar una recuperación del ranking previo.