viernes, junio 17, 2016

BlackSEO: Así es como los cibercriminales montan su negocio en la Web de otros #BlackSEO #Cibercrimen #SEO

El mundo del BlackSEO (BlackHat Search Engine Optimization) tiene muchas formas de funcionar. Hace ya mucho tiempo, como siete años o así, colaboré con Chema Alonso en un artículo llamado "Técnicas SEO para gente de moral relajada" en el que reflejábamos algunos de estas, pero hoy os quiero contar una historia nueva, para que veáis cómo han ido evolucionando este negocio que, como todo en el mundo digital, se adapta a las nuevas necesidades día a día, aquí va la aventura.

Figura 1: BlackSEO. Así es como los cibercriminales montan su negocio en la web de otros

Hace poco me encontré un dominio curioso. La mayor parte de los buscadores que suelo usar para las técnicas de Hacking con buscadores que describo en mi libro, haciendo caso a su fichero robots.txt, apenas decían saber nada de él:

Figura 2: Nada de información del dominio scriptds.com en los buscadores

La excepción a esto, sin embargo, era el buscador qrobe.it que había decidido ignorar las recomendaciones de robots.txt.

Figura 3: Resultados en Qrobe.it para este dominio

Una cosa a tener en cuenta cuando usas Qrobe es que éste genera sus respuestas de una forma mucho más dinámica que la de otros buscadores. De modo que a veces, si se recarga la página, se obtienen otras distintas:

Figura 4: Nuevos resultados con solo una recarga de página

Aparecen en los ejemplos tres tipos de resultados. Para empezar, el correspondiente a la página inicial del dominio, de la que no tenemos otra información que la URL. En segundo lugar, hay otros que hacen alusión a fármacos. Y, finalmente, nos encontramos con uno que incluye el texto “kodirovka”.

Análisis inicial del dominio

Por si hay aquí alguien que no sepa ruso, kodirovka es una palabra de ese idioma y significa “codificación”. Si se usa el traductor de Google para saltarnos las barreras del idioma, puede comprobarse que es una herramienta de codificación de cadenas de caracteres para su uso en URLs.

Figura 5: Traducción de la página de kordirovka

Y, dicho sea de pasada como curiosidad, este script no tiene un acabado demasiado profesional. Si se le pide que codifique algo… la página muestra un mensaje de tipo warning que revela detalles sobre la plataforma sobre la que está desplegada.

Figura 6: Mensajes de error con filtrado de información

Un sitio web con páginas sobre medicamentos y un URL encoder. Curioso. Pero más lo es el resultado que obtuve cuando utilicé una herramienta de análisis de SEO Congnitive SEO Explorer, para obtener más información. Tras indicarle el nombre del dominio a estudiar, hacer clic en el correspondiente botón y esperar un poco, apareció un dato curioso.

Figura 7: Resultó ser un dominio con buena influencia

De manera que un dominio del que la inmensa mayoría de los buscadores no muestran más resultados que su página principal (o incluso ni eso) y que contiene lo que contiene es considerado como poseedor de una buena influencia SEO. Esto pasa ya de curioso a interesante.

Dos niveles de gestión del SEO

Cognitive SEO Explorer proporciona un gráfico de distribución de enlaces que nos indica qué páginas aportan enlaces al dominio. En este caso, el diseño del ecosistema montado para promocionar el dominio era claro. Sencillo a la par que elegante:

Figura 8: Gráfico de distribución de enlaces

Como puede observarse, la arquitectura está fuertemente jerarquizada. El nodo central de la imagen se corresponde con el propio dominio. A él se conectan sus páginas, que son quienes le aportan su “influencia SEO”. Éstas a su vez reciben enlaces de otras, pertenecientes a otros dominios.

Figura 9: Segundo nivel

Llama la atención que cada página externa (cada nodo periférico en el gráfico) aporta enlaces a una única página del dominio objeto de estudio. Algo que no siempre ocurre pero que se ve que en esta ocasión parece haber funcionado bastante bien y sobre lo que volveremos más adelante.

Análisis de los enlaces desde el exterior

A continuación del gráfico anterior, Cognitive SEO Explorer muestra una lista de las páginas externas que aportan enlaces al dominio, con indicación del destino de las mismas. El problema es que si no se tiene una suscripción de pago, esta relación tendrá una longitud máxima de 25 elementos. En cualquier caso, hay otras herramientas que pueden rellenar este hueco. Como Linkody BackLink Checker, que proporciona hasta 100 resultados, con sólo un enlace por domino de origen.

Figura 10: Linkody Backlink Checker


O también European Bussiness Connect Backlink Checker, que identifica de forma clara sus orígenes:

Figura 11: BackLink Checker

La información de la tabla mostrada en la imagen podría ser tratada con una hoja de cálculo para analizar ciertos extremos. Como el hecho de que muchos de los sitios que aportan (o aportaron) enlaces al dominio estudiado comparten dirección IP:

Figura 12: Orígenes de los enlaces

Y algunos lo hacen también con el dominio objeto de estudio

Figura 13: Nslookup

¿Es mucho suponer el pensar que todos estos sitios pueden estar relacionados, pertenecer a una misma red? ¿Que en ella cada dominio aporta enlaces a otro para darle relevancia? ¿Que el número de dominios implicados es grande?

Arquitectura multimarca

Si se piensa detenidamente, lo anterior no es tan raro. Algo similar ocurre en otros mercados, como el de los electrodomésticos: Una misma empresa (o un mismo grupo de empresas) ofrece sus productos bajo una serie de distintas marcas. De ese modo tienen más boletos en la lotería de ser elegidos por los consumidores. No es de extrañar, pues, que en el mercado de estas “tiendas” online de fármacos ocurra lo mismo. Para hacernos una idea, se puede partir de una de ellas, elegida al azar.

Figura 14: "Tienda" de medicinas. Fotos al estilo de los "Doctores del Viagra"

En la parte superior de la página, justo al lado del mensaje en el que te invita a revisar a tu prima (cada cual sabrá lo que hace) aparecen los teléfonos de contacto. Aunque tiene pinta de texto, en realidad se trata de una imagen. Una vez determinada su URL se puede usar como criterio en la búsqueda de imágenes de Google. Se hace clic sobre el icono de la cámara que aparece en el campo de consulta, se introduce la dirección:

Figura 15: Buscando por imagen en Google
Y obtenemos un total de...

Figura 16: Tiendas que utilizan el mismo número e contacto

Google dice que tiene 1.500 resultados. Claro que no va a darnos tantos. Y que algunos de ellos se referirán a otras imágenes parecidas. Y que es seguro que muchos dominios aparecerán repetidos varias veces. Pero aún eliminando estas contingencias, 1.500 siguen siendo muchos resultados.

Análisis de las salidas del dominio

Otro aspecto interesante de las herramientas SEO utilizadas anteriormente, es que aportan una lista de páginas del dominio objeto de estudio. Algo que los buscadores no nos proporcionaban.

Figura 17: Páginas del dominio

Todas ellas tienen un comportamiento similar. No tienen contenido propio sino que redirigen con código HTTP 301 (movido permanentemente) a páginas pertenecientes a otros dominios que parecen dedicarse a la venta de medicamentos.

Figura 18: Redirigido a una tienda

Se encontraron hasta cinco dominios distintos de destino, uno de los cuales ya no existe

Figura 19: Dominios de salida

Dos de ellos indican claramente en sus páginas que son sitios afiliados

Figura 20: Afiliados (texto sacado de dos páginas distintas)

O sea, declaran que no tienen en realidad una farmacia propia sino que se dedican a vender los productos de otras farmacias. Se supone que a cambio de una comisión u otra contraprestación. Ocurre como con los enlaces de entrada: aquí encontramos de nuevo un modelo de dos niveles con las tiendas reales y sus afiliados

Apariencia de ¿legalidad?

Las cosas mostradas hasta aquí pueden resultar llamativas e incluso sospechosas pero poco más. Un dominio que recibe enlaces, sobre todo, de una serie de dominios externos que parecen formar parte de la misma red. Y cuyas páginas redirigen a pretendidas farmacias online.

Salvo que las farmacias operen al margen de la ley, todo parece... legal. En cuanto a si es legítimo o no, eso es algo que siempre se podrá discutir. La balanza puede comenzar a inclinarse hacia el “no” cuando, analizando los enlaces entrantes al dominio, nos encontramos con páginas creadas en sitios de hosting gratuitos exclusivamente para tal fin:

Figura 21: Páginas en sitios de hosting gratuitos

Pero, sobre todo, se decide cuando se encuentra un caso de sitio web de un ayuntamiento al que se le han añadido contenidos de forma no autorizada:

Figura 22: Sitio web vulnerado

En todo caso, éste es el único de los enlaces encontrados que parece tener un origen ilegal. Es extraño que alguien dispuesto a realizar este tipo de actividades lo haga una única vez. Que no repita. Si hasta hay ya mercado fuera de rincones oscuros de la red para vender y comprar estos servidores vulnerados.

Los donantes del PageRank

Y es que en realidad sí lo hizo. Sólo que eligió otro escenario para su actuación. Como se recordará, el dominio que estamos analizando era sólo un primer nivel en una arquitectura de dos capas. En la segunda se encontraban los dominios externos que le aportaban enlaces (y relevancia SEO).

La mayor parte de éstos tienen un modelo de comportamiento común. Presentan una única página compuesta por una única imagen que llena toda la ventana del navegador y que es en realidad un hiperenlace. No es de extrañar pues que, como se vio anteriormente, sólo puedan aportar un enlace al dominio estudiado.

Para la organización o persona que los gestiona, estos dominios de segundo nivel parecen ser los peones de una partida de ajedrez. Para empezar porque da la impresión de que no se han molestado demasiado en darles un contenido que al menos tenga buena apariencia. Por ejemplo, muchos de ellos usan la misma imagen y el nombre de la tienda que aparece en el pie de página no se corresponde con su nombre.

Figura 23: Discordancia

Y también porque así lo insinúa un análisis de sus características SEO. Lo primero que llama es la estructura de los enlaces:

Figura 24: Estrella de la arquitectura de BlackSEO montada. ¿No es bonita?

Un único nivel en estrella. Una obra de arte de ingeniería de BlackSEO. Y esta vez los orígenes de los enlaces son en ocasiones bastante sospechosos: sitios que Google cataloga como posiblemente vulnerados o maliciosos, páginas con contenidos extraños, posiblemente añadidos de forma ilegítima, en dominios que no tienen ninguna relación con los fármacos, etcétera.

Figura 25: El lado oscuro

Bien pensado, tiene su lógica. Una vez un dominio tiene cierto peso en los buscadores, su valor económico comienza a ser relevante y útil para el SEO. Seguro que su propietario no querría perderlo. De modo que, para no echarlo a perder con problemas con Google y otros buscadores, ni con la ley, mejor que los enlaces que reciba y su apariencia sean lo más limpios posibles.

Sin embargo, un dominio creado recientemente aún tiene poco valor. Puede ser él el que reciba los enlaces ilegítimos y/o ilegales y si esto ocasiona problemas… se elimina y ¡listo!. Eso sí, mientras su suerte no se haya decidido, mientras no se sepa si está destinado a desaparecer o a mayores glorias, puede ir aportando enlaces a los dominios estrella de la casa.

Y, quién sabe, quizá con el tiempo él se convierta también en uno de ellos y haya que hacerle un lavado de cara y adecentarlo un poco.

Autor: Enrique Rando, escritor del libro "Hacking con Buscadores"

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares