La red de entrega de contenidos (por sus siglas en inglés CDN, Content Delivery Network) Akamai, que atiende del 15 al 30% de todo el tráfico de internet, acaba de publicar una nota de prensa en la que advierte la detección de una sofisticada campaña de posicionamiento SEO que utiliza inyecciones SQL para atacar sitios web concretos.

Los sitios afectados distribuyen enlaces HTML escondidos que causan confusión a los bots de los buscadores, provocando una influencia errónea en los rankings. El análisis de datos llevado a cabo durante dos semanas del tercer trimestre de 2015 ha identificado ataques SEO en más de 3.800 sitios web y 348 IPs fijas participantes en varias campañas, evidenciando las siguientes actuaciones:

  • Modificación (defacement) masivo. Al buscar los enlaces HTML utilizados como parte de la campaña, se identificaron cientos de aplicaciones web que contenían dichos enlaces maliciosos.
  • Manipulación de los resultados de los motores de búsqueda: al buscar una combinación de palabras como por ejemplo «cheat» (engañar) y «stories» (historias), la aplicación «cheating stories» aparecía en la primera página de los principales motores de búsqueda, tales como Google y Bing.
  • Las analíticas demostraron el tamaño del ataque: Durante tres meses se incrementó de forma exponencial el ranking de la aplicación «cheating stories».

Los motores de búsqueda emplean algoritmos que determinan los rankings de las web y la indexación de las mismas, y el número y reputación de enlaces que redireccionan a la aplicación web influyen en estos rankings. Los atacantes diseñaron una cadena de historias de engaños e infidelidad para imitar un contenido web normal y afectar a los algoritmos del motor de búsqueda de forma que la reputación de los sitios afectados caía estrepitosamente.

Consejos de Akamai para evitar ataques SEO

Los ataques de la campaña han demostrado una comprensión única de las operaciones de los motores de búsqueda y por lo tanto, la División de Investigación de Amenazas recomienda las siguientes técnicas de defensa:

Para los desarrolladores de Aplicaciones Web

  • Asegurarse de tener implementados chequeos de validación de entrada adecuados para todos los datos proporcionados por los usuarios y que se utilizarán en el marco de una petición de base de datos de backend
  • Solo utilizar estados preparados con peticiones parametrizadas a la hora de crear solicitudes SQL basadas en datos proporcionados por usuarios.

Para los defensores de Aplicaciones Web

  • Desplegar un Cortafuegos de Aplicaciones Web (Web Application Firewall – WAF) que esté configurado en modo de bloqueo contra ataques de Inyección SQL.
  • Considerar el perfilado y monitorización del formato del cuerpo de respuesta HTML para ayudar a identificar si existen importantes cambios como un incremento del número de enlaces web.

La compañía de servicios CDN sigue monitorizando las continuas campañas de ataques SEO que utilizan técnicas de inyección SQL. Akamai pone a disposición de los interesados el informe completo para su descarga.