Buscar en Google parece lo más inocente del mundo. Lo haces en el móvil mientras esperas el bus, o en el ordenador para resolver una duda rápida, y listo. Pero una pregunta concreta de seis palabras, «Are Bengal Cats legal in Australia», se convirtió en el gancho de una campaña real de malware detectada por investigadores.
La clave no es que Google “te hackee” por escribir una frase. El riesgo aparece cuando confías demasiado en el primer resultado y haces clic sin mirar. En este tipo de ataques, los delincuentes colocan enlaces trampa arriba del todo y esperan a que alguien haga lo más humano del mundo, pinchar y seguir.
Las seis palabras
La alerta viene de un análisis publicado el 6 de noviembre de 2024 por Trang Tang, Hikaru Koike, Asha Castle y Sean Gallagher, del equipo Sophos X-Ops y de operaciones de detección y respuesta gestionada de Sophos. Su investigación describe un caso en el que una búsqueda sobre la legalidad de tener un gato bengalí en Australia llevó a un sitio comprometido que descargaba un archivo comprimido en el equipo.
Ese archivo era la primera pieza de una cadena típica en ciberseguridad. Primero llega un “cargador”, un programa pequeño diseñado para abrir la puerta y traer más cosas después. Si nadie lo frena a tiempo, puede terminar en robo de información o en control remoto del dispositivo, que ya es un problema serio si ahí tienes cuentas, contraseñas guardadas o acceso al banco.
Qué es el envenenamiento SEO
El nombre del truco es «SEO poisoning», que en español suele explicarse como “envenenamiento SEO”. En la práctica, significa empujar páginas falsas o comprometidas a los primeros puestos del buscador usando técnicas de posicionamiento, como si alguien cambiara las señales de una carretera para mandarte por un desvío. INCIBE lo menciona como una vía de infección cuando el usuario visita webs falsas o comprometidas “bien posicionadas” en los resultados.
¿Por qué funciona tan bien? Porque casi todos hemos aprendido el mismo hábito, confiar en lo que aparece arriba. Y porque muchas búsquedas largas y muy concretas, como preguntas raras sobre leyes o trámites, tienen menos “competencia” y son más fáciles de manipular.
El clic es la trampa real
En el caso descrito por Sophos, la búsqueda terminaba con una descarga que parecía parte normal del proceso, como si fuera un documento o una guía. Ese detalle importa mucho, porque el ataque no necesita que metas tu contraseña en una página falsa desde el minuto uno. A veces basta con abrir un archivo descargado y dejar que el malware haga el resto.
Sophos también ha contado en investigaciones anteriores que GootLoader suele montar una escena creíble, por ejemplo un foro falso que “responde” exactamente a tu pregunta y te ofrece un archivo como solución. Es una ingeniería social muy sencilla de entender, te dan una respuesta perfecta, con el mismo texto que acabas de escribir, y te empujan a hacer clic justo cuando bajas la guardia.
Cómo reducir el riesgo al buscar
Google insiste en que tiene sistemas y políticas para combatir el spam y los engaños en el buscador, y aun así recomienda hábitos básicos como revisar la URL antes de entrar y apoyarte en herramientas para entender de dónde sale un resultado. En la práctica, eso significa parar un segundo, mirar el dominio con calma y desconfiar de resultados raros o demasiado oportunos, sobre todo si te piden descargar algo para “ver la respuesta”.
INCIBE, que trabaja en concienciación y ayuda a ciudadanía en España, repite una idea parecida con ejemplos muy cotidianos. Comprobar si el dominio es el original, fijarte en páginas que imitan nombres conocidos con pequeñas variaciones y revisar el enlace antes de pinchar puede ahorrarte un disgusto. Suena a consejo viejo, pero sigue siendo de lo más efectivo.
También ayuda tener defensas básicas bien puestas. Un gestor de contraseñas y la verificación en dos pasos no evitan que entres en una web mala, pero sí reducen el impacto si alguna cuenta se ve comprometida. Y una actualización pendiente del navegador o del sistema operativo es, muchas veces, la grieta que un atacante espera encontrar.
Si ya has hecho clic, qué hacer
Si ya has entrado en un enlace sospechoso, lo primero es no abrir nada descargado y borrar el archivo si lo ves en la carpeta de descargas. Luego conviene pasar un análisis de seguridad con tu antivirus o con las herramientas de seguridad del sistema, y cambiar contraseñas si has llegado a introducir datos en alguna página que no te da confianza. Mejor hacerlo hoy que “cuando tenga un rato”.
Y si has encontrado una página que parece diseñada para engañar, puedes reportarla. Google ofrece formularios específicos para informar de spam, malware o phishing en resultados de búsqueda, y esa información alimenta sus sistemas de detección.
La investigación principal se ha publicado en Sophos.
