Sophos lleva meses documentando una amenaza que crece en silencio dentro del propio buscador más usado del mundo. Se llama SEO Poisoning y consiste en colocar webs trampa en los primeros resultados de Google para que hagas clic en ellas sin sospechar nada. Si estás leyendo esto, es probable que nunca hayas oído hablar de ella, y eso es exactamente el problema.
—
Qué ha pasado exactamente
La firma de ciberseguridad Sophos ha publicado un análisis detallando cómo el SEO Poisoning está afectando a usuarios reales a través de búsquedas completamente cotidianas. El caso que han documentado es llamativo por lo específico: personas que buscan *»¿Son legales los gatos de Bengala en Australia?»* terminan aterrizando en páginas fraudulentas diseñadas para robar sus datos.
No estamos hablando de spam obvio ni de correos con errores ortográficos. Sophos los describe como «adwares maliciosos disfrazados de resultados legítimos», que aparecen posicionados en las primeras páginas de Google mediante técnicas de optimización para motores de búsqueda, las mismas que usa cualquier medio o empresa para mejorar su visibilidad. La diferencia es que aquí el objetivo final no es vender nada, sino infectarte.
El mecanismo concreto funciona así: el usuario hace clic en uno de estos resultados envenenados, la web le presenta algún tipo de contenido que parece plausible, y en algún momento del proceso se descarga un archivo `.ZIP` que ejecuta código malicioso en el equipo. Ese código actúa como un ladrón silencioso: recoge direcciones postales, credenciales bancarias, contraseñas guardadas en el navegador y cualquier dato sensible que encuentre a su paso.
Lo que hace especialmente preocupante el ejemplo de los gatos de Bengala es su naturaleza. No es una búsqueda sobre criptomonedas, ni sobre software pirata, ni sobre nada que levante alertas. Es la clase de pregunta que alguien hace por curiosidad un martes por la tarde. Y eso revela algo importante: el vector de ataque ya no busca a usuarios imprudentes, busca a usuarios normales.
—
Por qué esto importa ahora
El SEO Poisoning no es nuevo. Lleva años siendo una herramienta en el arsenal de los ciberdelincuentes. Pero hay algo que ha cambiado recientemente y que explica por qué Sophos y otros están poniendo el foco en ello ahora mismo.
Google ha apostado fuerte por sus resúmenes generados con inteligencia artificial —lo que llaman AI Overviews— para responder directamente a las preguntas sin que el usuario tenga que hacer clic en ningún enlace. En teoría, eso debería reducir la exposición a resultados maliciosos. En la práctica, esos resúmenes no cubren todo tipo de búsquedas, especialmente las más específicas o de nicho, que son precisamente las que los atacantes están aprendiendo a explotar. Cuando Google no tiene una respuesta directa, el usuario sigue dependiendo de los enlaces azules de siempre, y ahí es donde acecha el peligro.
Si miramos los datos de comportamiento del usuario, las búsquedas de cola larga —las muy específicas, con varias palabras— generan menos volumen pero más intención real. Un usuario que pregunta algo tan concreto como la legalidad de una raza de gato en un país específico probablemente va a hacer clic en el primer resultado que parezca relevante. Los atacantes lo saben y llevan tiempo diseñando sus campañas para capturar exactamente ese tipo de tráfico cualificado. En cierto modo, están haciendo SEO profesional al servicio del crimen.
—
Qué dicen los que saben
Desde Sophos, el análisis apunta a que este tipo de campañas están ganando sofisticación técnica de forma acelerada. Lo interesante no es solo que existan webs fraudulentas en Google —eso siempre ha ocurrido— sino que el nivel de mimetismo con resultados legítimos ha mejorado considerablemente. Las páginas trampa tienen diseños cuidados, estructura coherente y en muchos casos incluso contenido que responde parcialmente a la pregunta del usuario antes de activar el mecanismo de descarga maliciosa.
El sector de la ciberseguridad lleva tiempo advirtiendo de que la superficie de ataque se ha desplazado. Antes, el correo electrónico era el canal principal de entrada de malware. Ahora, con los filtros antispam siendo más eficaces, los atacantes buscan vías alternativas donde el usuario baje la guardia. El buscador es el candidato perfecto: nadie espera que una búsqueda rutinaria en Google sea peligrosa. Esa confianza es exactamente la vulnerabilidad que se está explotando.
—
Lo que nadie te está contando
Hay un aspecto de esta historia que casi ningún medio está abordando: la responsabilidad de Google en todo esto. El SEO Poisoning funciona porque el algoritmo de Google puede ser engañado. Los atacantes están usando exactamente las mismas señales que Google utiliza para evaluar la calidad de una página —backlinks, estructura, contenido relevante— y las están falsificando. Eso no es solo un problema de los usuarios; es un fallo sistémico del sistema de indexación.
Google tiene los recursos técnicos y los datos necesarios para detectar patrones anómalos en webs que se posicionan rápidamente para búsquedas de nicho con descargas adjuntas. Si no lo está haciendo con la eficacia necesaria, vale la pena preguntarse por qué. La respuesta incómoda es que el incentivo económico de Google es maximizar clics, y cada resultado —legítimo o no— que consigue que un usuario interactúe con la página de resultados es, a corto plazo, un éxito para el modelo publicitario. Eso no significa que Google sea cómplice, pero sí que los incentivos del negocio no están perfectamente alineados con la seguridad del usuario.
A medio plazo, el SEO Poisoning podría convertirse en un problema que erosione algo que Google da por garantizado: la confianza. Si los usuarios empiezan a asociar los resultados de búsqueda con un riesgo real, el comportamiento cambia. Herramientas como Perplexity o el propio ChatGPT ya ofrecen respuestas directas sin necesidad de navegar a webs externas. Si Google no resuelve esto con contundencia, podría estar acelerando involuntariamente la migración de usuarios hacia alternativas que, al menos de momento, no tienen este problema.
—
Cómo protegerte del SEO Poisoning de forma práctica
Antes de cerrar, tiene sentido concretar qué puedes hacer tú ahora mismo. Las recomendaciones genéricas de «sé cuidadoso online» no sirven de nada, así que vamos a lo específico.
Revisa la URL antes de hacer clic. No el texto visible del resultado, sino la dirección real que aparece debajo. Un dominio recién creado, con caracteres extraños o que no tiene relación con el contenido prometido es una señal de alarma inmediata. Webs con años de historia como Wikipedia, Reddit o medios reconocidos raramente son vectores de este tipo de ataque.
Desconfía de cualquier resultado que te pida descargar un archivo para ver el contenido. Ninguna respuesta a una pregunta informativa requiere que descargues un `.ZIP`. Si un resultado te lleva a una página que te propone eso, ciérrala y reporta el enlace directamente desde Google usando los tres puntos que aparecen junto al resultado.
Activa la verificación en dos pasos en tus cuentas bancarias y en cualquier servicio donde tengas datos sensibles. Si un ataque de este tipo consigue tus credenciales, el segundo factor de autenticación es la diferencia entre una molestia y un desastre. Y si usas un gestor de contraseñas, asegúrate de que tiene alertas de brecha activadas: herramientas como Bitwarden o 1Password te notifican si alguna de tus credenciales aparece en filtraciones conocidas.
—
Qué esperar a partir de ahora
Las campañas de SEO Poisoning van a seguir creciendo mientras posicionarse en Google sea más barato que el beneficio que genera infectar un dispositivo. Google tendrá que responder con actualizaciones algorítmicas específicas o con señales de alerta visibles en los resultados, algo parecido a lo que ya hace con webs de phishing en Chrome. La pregunta real no es si esto va a empeorar antes de mejorar, sino cuántos usuarios van a verse afectados en el intervalo.
