Una sofisticada campaña de envenenamiento de SEO de sombrero negro ha comprometido más de 150 sitios web gubernamentales y de instituciones financieras en India, redirigiendo a millones de usuarios hacia plataformas de apuestas fraudulentas que promueven juegos como el rummy y «oportunidades» de inversión de alto riesgo.
Esta operación explota vulnerabilidades en portales gubernamentales (.gov.in) y dominios educativos (.ac.in), manipulando motores de búsqueda para desviar a los usuarios hacia sitios web fraudulentos.
Explotación de dominios confiables
Los actores maliciosos inyectaron código JavaScript malicioso en sitios web gubernamentales vulnerables, incluyendo portales estatales, para secuestrar los rankings en los motores de búsqueda.
El script identifica el tráfico que proviene de motores de búsqueda como Google y redirige a los usuarios móviles a plataformas de apuestas como indorummy[.]net y teenpattionline[.]game, mientras que muestra páginas de error a los usuarios de escritorio para evadir la detección.
Por ejemplo, una página comprometida del gobierno de Kerala fue alterada para incluir palabras clave ocultas como «préstamos personales instantáneos» y «tarjetas de crédito de bajo interés» asociadas con los principales bancos indios.
Los usuarios que buscan servicios financieros legítimos son dirigidos a páginas que promueven juegos de rummy disfrazados como «oportunidades de inversión».
Los analistas encontraron más de 12,000 páginas de spam utilizando cargas de archivos .shtml y .aspx en servidores gubernamentales, con contenido que refleja plantillas de casinos indonesios para eludir filtros regionales.
Tácticas técnicas
La campaña emplea tácticas de evasión en múltiples capas:
- Manipulación del encabezado Referrer: Los scripts verifican si los visitantes llegan a través de motores de búsqueda, redirigiendo solo a esos usuarios a sitios de apuestas.
- Cloaking basado en User-Agent: Los usuarios móviles reciben enlaces a sitios de apuestas, mientras que los usuarios de escritorio ven errores 404 para evitar levantar sospechas.
- Keyword stuffing: Las páginas comprometidas incrustan términos financieros en tendencia (por ejemplo, «cuenta PPF», «tasas de depósito fijo») para dominar los resultados de búsqueda.
Los atacantes alojan dominios maliciosos a través de la CDN de Cloudflare y la infraestructura de AWS, ocultando sus servidores de origen.
Dominios como rummydeity[.]cc y crickexlive[.]vip se resuelven en IPs en el rango 104.21.x.x de Cloudflare, complicando los esfuerzos de eliminación.
Dominios secundarios alojados en Amazon Web Services (18.160.46.x) dispersan aún más la infraestructura, con kits de phishing que imitan portales bancarios legítimos.
Impacto financiero y social en los usuarios indios
La estafa capitaliza el auge del juego en línea en India, atrayendo a los usuarios con falsos «bonos por referidos» (₹20–80 por registro) y «niveles VIP» que prometen mayores retornos.
Las víctimas deben depositar fondos para retirar ganancias, una característica típica de los esquemas Ponzi. El análisis de CloudSEK sobre indorummy[.]net reveló plantillas de phishing por SMS integradas y chatbots de servicio al cliente falsos que recopilan datos financieros.
Las quejas en redes sociales aumentaron después de que la campaña fuera señalada en LinkedIn y X a finales de 2024.
Los usuarios reportaron pérdidas de ₹50,000–₹2 lakh después de «ganancias» iniciales, con solicitudes de retiro bloqueadas a menos que se realizaran depósitos adicionales.
A pesar de los informes a CERT-In y al equipo de Web Risk de Google, las eliminaciones son lentas debido a la escala de los dominios falsificados.
Cada página de spam requiere una revisión manual para evitar la eliminación accidental de contenido legítimo.
La campaña refleja un incidente en Malasia en 2024, donde sitios gubernamentales fueron enlazados a plataformas de casinos, subrayando los riesgos transfronterizos.
Conclusión personal
Como especialista en SEO, este incidente destaca la importancia de mantener una infraestructura web segura y monitorear constantemente nuestras propiedades digitales. La explotación de sitios confiables para redirigir tráfico a plataformas fraudulentas no solo daña la reputación de las instituciones afectadas, sino que también pone en riesgo la confianza de los usuarios en los servicios en línea. Es imperativo que las organizaciones implementen medidas de seguridad robustas, realicen auditorías periódicas de su código y estén alertas ante cualquier anomalía en sus rankings de búsqueda para proteger tanto a sus usuarios como a su reputación en línea.
Este artículo es una traducción al español del original en inglés “Black-Hat SEO Poisoning Attacks Exploit Indian Government and Financial Websites”, publicado en GBHackers. Puedes leer el artículo original aquí: https://gbhackers.com/black-hat-seo-poisioning-attack/.
