Hoy no vamos a explorar malware o cualquier otro tráfico abiertamente malicioso. En cambio, este post es un aviso de tácticas de marketing deshonestas utilizadas por los servicios que pretenden mejorar el tráfico de su sitio web, o Search Engine Optimization (SEO) – Optimización en Buscadores.
Recientemente, recibimos un informe de uno de nuestros clientes diciendo que su sitio web estaba bajo un ataque de Denegación de Servicio Distribuido (DDoS). Nuestras Firewall de Sitios Web ofrece protección contra DDoS capaz de mitigar los ataques de gran escala y es muy raro que tengamos que ayudar a mitigar estos ataques. Después de una mirada, estaba claro que no estaba sucediendo cualquier ataque DDoS. Como se sospechaba, el sitio web estaba totalmente protegida por nuestro Firewall de Sitios Web y no había tráfico malicioso a se encontrar. Sin embargo, me di cuenta de algunos patrones de tráfico extraños que captaron mi interés, así que me sentí que valdría la pena investigar el asunto.
Pico de Tráfico de Google Analytics
Nuestro cliente se dio cuenta de algunos cambios alarmantes en sus informes de Google Analytics y pensó que era un ataque DDoS. El tráfico del sitio web se ha incrementado dramáticamente. Eso puede sonar como una cosa buena para algunos, sin embargo, se hizo evidente que este tráfico no era normal. Nuestras estadísticas del Firewall de Sitios Web indican que el tráfico ha aumentado considerablemente, pero el tráfico adicional no contenía peticiones maliciosas y la geolocalización no parecía provenir de un ataque DDoS típico.
Lo que era realmente alarmante es que el aumento en el tráfico se ha producido casi inmediatamente, como si alguien hubiera volteado un interruptor. Por otra parte, el aumento del tráfico era muy consistente, con una duración de 3 semanas antes de llegar a su punto máximo. Esto es muy diferente de los ataques DDoS estándar, donde la duración es sólo unos pocos días.
Audiencia > Redes > Proveedores de Servicio
Le pedimos a nuestro cliente para acceder a su cuenta de Google Analytics, así que pudimos tomar ventaja de esta funcionalidad para nuestra investigación. Google Analytics es una poderosa herramienta que permite a los webmasters ver fácilmente sus visitas a un sitio y explorar los patrones de tráfico que emergen.
Empecé la comparación de los Network Service Providers donde las peticiones surgían antes y después del aumento del tráfico. Esta comparación mostró sobre 75 nuevas redes que hace poco estaban enviando miles de peticiones al sitio web todos los días, pero nunca había enviado peticiones a la página antes de este momento. Estas peticiones también correspondieron al aumento en el total de visitas al sitio que se ve en las estadísticas CloudProxy. Con esta comparación, inmediatamente fuimos capaces de aislar las redes de donde este nuevo tráfico venía y ver qué exactamente este tráfico estaba haciendo.
Lindo Tráfico Falso
Mirando sólo las estadísticas de tráfico de estas nuevas redes, el comportamiento fue sólo ligeramente “perfecto” para ser proveniente de los usuarios normales que visitan el sitio web:
Incluido en las estadísticas del tráfico total, ese tráfico se mezclaría sin problema y parecería que es un aumento de visitantes; sin embargo, cuando se lo ve solo, el tráfico de estas redes parece ser sin duda sospechoso. El nuevo tráfico siempre tenía una duración de sesión de 03:40 a 04:00 minutos, con vista en promedio de 4.2 páginas por sesión y tenía una tasa de rebotar del 50%.
Sin embargo, lo que realmente nos ayudó a entender todo fue que el 100% de estas sesiones eran nuevas, el 100% eran tráfico directo y casi todo comenzó en una URL diferente de la página de inicio. En este punto, se hizo muy claro que este tráfico se estaba generando de forma automática.
Como ya había mencionado anteriormente en este artículo, ninguna de las solicitudes enviadas desde estas nuevas redes eran maliciosas. No hubo peticiones POST, ni caracteres codificados, ni archivos confidenciales accedidos y la velocidad en la que se enviaron las solicitudes no era claramente un intento de DDoS. ¿Entonces por qué se genera este tráfico?
Proveedores de Servicio Spammy
Afortunadamente, muchos de los nombres de los proveedores de servicios de red (Network Service Providers) de Google Analytics proporcionaron algunas pistas.
Junto con varios proveedores de VPS baratos, una serie de empresas de marketing en línea y de SEO blackhat fueron listadas como las redes fuentes del nuevo tráfico. En este punto, era fácil comprender todo. Nuestro cliente, posiblemente, había contratado a alguien para dirigir el tráfico a su sitio web y ganado más (o menos) de lo esperado. También es posible que un competidor malintencionado haya pagado a alguien para estropear su tráfico. Este tipo de cosa puede suceder con las granjas de enlaces, otro repertorio de blackhat SEO. Si bien que se ha hecho un dramático aumento en el tráfico del sitio web, el tráfico era completamente inútil y sólo sirvió para estropear las estadísticas de Google Analytics.
Evite el Aceite de Serpiente de SEO
Por desgracia, en el mundo de SEO, no hay escasez de vendedores de aceite de serpiente. Estas empresas de ‘SEO’ prometen resultados rápidos y tomar se aprovechan la falta de experiencia de sus clientes cuando se trata de hacer dinero. El SEO real, como la seguridad en línea, es un proceso no sólo un interruptor que se puede encender y apagar al instante.
Uno de los pasos más simples e importantes que los webmasters pueden tomar para mejorar el SEO de su sitio web es asegurarse de que su sitio web puede ser indexado fácilmente. También es importante asegurarse de que los títulos y meta descripciones de sus páginas se ajustan a los temas de su sitio web. Desarrollar una comunidad y dar a conocer sobre su sitio web también es importante porque cuanto más prestigiosos son los enlaces que apuntan a su sitio web, mejor será su posición en los buscadores.
Se usted usa WordPress o Drupal, se lo recomiendo que utilice el maravilloso plugin de SEO de Yoast.
Conclusión
Es cierto que hay empresas de legítimas que ofrecen un servicio valioso, pero le recomendamos pasar algún tiempo investigando antes de gastar su dinero. Una buena regla es que cualquier “empresa de SEO” que se ponga en contacto con usted por primera vez a través de su correo electrónico se debe evitar, estos son, por lo general, sólo una forma un poco más avanzada de spam.
Es necesario comprender que se necesita tiempo para mejorar el SEO de su sitio web, así que si cualquier empresa SEO promete resultados inmediatos, sepa que están mintiendo. SEO Blackhat no vale la pena. Encontrarse cara a cara con la empresa SEO y escuchar sus explicaciones sobre cómo exactamente van a mejorar su ranking es una gran ventaja que no debe subestimarse.
Por último, vale la pena gastar el tiempo para leer algunos tutoriales de SEO usted mismo para conseguir una mejor comprensión de lo que implica tener un buen SEO. Como todas las cosas, cuanto más sepa acerca de un tema, más fácil es encontrar las mejores ofertas disponibles y evitar errores comunes. Puede comenzar con el Guía de SEO de Google y seguir el blog del Google Webmasters para insights oficiales sobre SEO.
Fuente:https://blog.sucuri.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
