páginas web

Enlaces ocultos a sitios de pornografía en el sitio web de tu empresa

Los atacantes están abusando de sitios web legítimos para alojar enlaces SEO ocultos. Analizamos sus tácticas y lo que puedes hacer al respecto.

Anna Larkina
29 Oct 2025

Si la clasificación del motor de búsqueda de tu sitio web corporativo cae repentinamente sin una razón obvia, o si los clientes comienzan a quejarse de que tu software de seguridad está bloqueando el acceso o marcando tu sitio como una fuente de contenido no deseado, es posible que estés alojando un bloque oculto de enlaces. Estos enlaces generalmente apuntan a sitios web sospechosos, como de pornografía o casinos online. Si bien estos enlaces son invisibles para los usuarios habituales, los motores de búsqueda y las soluciones de seguridad los analizan y los tienen en cuenta al juzgar la autoridad y la seguridad de tu sitio web.

Hoy explicamos cómo estos enlaces ocultos dañan tu empresa, cómo los atacantes logran inyectarlos en sitios web legítimos y cómo proteger tu sitio web de esta molestia.

Por qué los enlaces ocultos son una amenaza para tu empresa

En primer lugar, los enlaces ocultos a sitios dudosos pueden dañar gravemente la reputación de tu sitio y reducir su clasificación, lo que influirá inmediatamente en tu posición en los resultados de búsqueda. Esto se debe a que los motores de búsqueda analizan el código HTML de los sitios web con regularidad y descubren rápidamente cualquier línea de código que los atacantes puedan haber añadido. Los algoritmos de búsqueda suelen considerar el uso de bloques ocultos como una práctica manipuladora: un sello distintivo del black hat SEO (también conocido simplemente como black SEO). Como resultado, los motores de búsqueda reducen la clasificación de cualquier sitio que aloje enlaces de ese tipo.

Otra causa de la caída en las clasificaciones de búsqueda es que los enlaces ocultos suelen apuntar a sitios web con una clasificación de dominio baja y contenido irrelevante para tu empresa. La clasificación del dominio mide la autoridad de un dominio, que refleja su prestigio y la calidad de la información que se publica en él. Si tu sitio contiene enlaces a páginas oficiales específicas de la industria, tiende a aparecer más arriba en los resultados de búsqueda. Si se vincula a sitios web sospechosos e irrelevantes, cae. Además, los motores de búsqueda ven los bloques ocultos como un indicio de construcción de enlaces artificial, lo que, de nuevo, penaliza la ubicación del sitio de la víctima en los resultados de búsqueda.

El problema técnico más importante es la manipulación de la equidad de enlaces. Tu sitio web tiene una determinada reputación o autoridad, que influye en la clasificación de las páginas a las que enlazas. Por ejemplo, cuando publicas un artículo útil en tu sitio y enlazas a la página de tu producto o sección de contacto, básicamente estás transfiriendo autoridad de ese contenido valioso a esas páginas internas. La presencia de enlaces externos no autorizados desvía la equidad de este enlace a sitios externos. En general, cada enlace interno ayuda a los motores de búsqueda a comprender qué páginas de tu sitio son más importantes, lo que mejora su posición. Sin embargo, cuando una parte significativa de esta equidad se filtra a dominios externos dudosos, tus páginas clave reciben menos autoridad. Esto hace que tengan, a la larga, una clasificación más baja de lo que deberían, lo que afecta directamente a tu tráfico orgánico y al rendimiento de SEO.

En el peor de los casos, la presencia de estos enlaces puede incluso dar lugar a conflictos con las fuerzas de seguridad y generar responsabilidad legal por la distribución de contenidos ilícitos. Dependiendo de las leyes locales, los enlaces a sitios web con contenido ilegal podrían tener como resultado multas o incluso el bloqueo completo de tu sitio por parte de los organismos reguladores.

Cómo comprobar si tu sitio contiene enlaces ocultos

La forma más sencilla de revisar tu sitio web en busca de bloques de enlaces ocultos es ver su código fuente. Para hacerlo, abre el sitio en el navegador y pulsa Ctrl + U (en Windows y Linux) o Cmd + Opción + U (en macOS). Se abrirá una nueva pestaña con el código fuente de la página.

En el código fuente, busca las siguientes propiedades de CSS que pueden indicar elementos ocultos:

display:none
visibility:hidden
opacity:0
height:0
width:0
position:absolute

Estos elementos se relacionan con las propiedades de CSS que hacen que los bloques en la página sean invisibles, ya sea por completo o reducidos a tamaño cero. En teoría, estas propiedades se pueden usar para fines legítimos, como el diseño web adaptable, los menús ocultos o las ventanas emergentes. Sin embargo, si se aplican a enlaces o bloques completos de código de enlace, podría ser un indicio claro de la manipulación maliciosa.

Además, puedes buscar palabras clave en el código relacionadas con el contenido al que los enlaces ocultos señalan con más frecuencia, como “pornografía”, “sexo”, “casino”, “tarjeta”, etc.

Para profundizar en los métodos específicos que utilizan los atacantes para ocultar sus bloques de enlaces en sitios legítimos, consulta esta publicación más técnica de Securelist.

¿Cómo inyectan los atacantes sus enlaces en sitios legítimos?

Para añadir un bloque invisible de enlaces a un sitio web, los atacantes primero necesitan poder editar tus páginas. Pueden hacerlo de varias formas.

Vulneración de las credenciales de administrador

La dark web alberga todo un ecosistema delictivo dedicado a la compra y venta de credenciales vulneradas. Los intermediarios de acceso inicial proporcionan a cualquier persona credenciales vinculadas a prácticamente cualquier empresa. Los atacantes obtienen estas credenciales a través de ataques de phishing o troyanos ladrones, o simplemente rastreando las filtraciones de datos disponibles públicamente de otros sitios web con la esperanza de que los empleados reutilicen el mismo nombre de usuario y contraseña en varias plataformas. Además, puede que los administradores usen contraseñas demasiado sencillas o no cambien las credenciales predeterminadas del CMS. En estos casos, los atacantes pueden descifrar fácilmente los datos de inicio de sesión.

Acceder a una cuenta con privilegios de administrador otorga a los delincuentes un amplio control sobre el sitio web. En concreto, pueden editar el código HTML o instalar sus propios complementos maliciosos.

Aprovechamiento de las vulnerabilidades del CMS

Solemos analizar diversas vulnerabilidades en las plataformas y los complementos de los CMS en nuestro blog. Los atacantes pueden aprovechar estos fallos de seguridad para editar archivos de plantilla (como header.php, footer.php o index.php), o insertar directamente bloques de enlaces ocultos en páginas arbitrarias en todo el sitio.

Vulneración del proveedor de alojamiento

En algunos casos, es la empresa de alojamiento la que se ve vulnerada en lugar del sitio web en sí. Si el servidor que aloja el código de tu sitio web no está bien protegido, los atacantes pueden traspasarlo y tomar el control del sitio. Otra situación común es la de un servidor que aloja sitios para muchos clientes diferentes. Si los privilegios de acceso se configuran incorrectamente, vulnerar a un cliente puede dar a los delincuentes la capacidad de llegar a otros sitios web alojados en ese mismo servidor.

Bloques de código malicioso en plantillas gratuitas

No todos los administradores de sitios web escriben su propio código. Los diseñadores web desprevenidos y conscientes del presupuesto pueden intentar encontrar plantillas gratuitas en línea y simplemente personalizarlas para que se ajusten al estilo corporativo. El código de estas plantillas también puede contener bloques encubiertos insertados por agentes maliciosos.

¿Cómo proteger tu sitio de enlaces ocultos?

Para proteger tu sitio web contra la inyección de enlaces ocultos y sus consecuencias asociadas, recomendamos seguir los siguientes pasos:

Evitar el uso de plantillas, temas o cualquier otra solución no verificada de terceros para crear tu sitio web.
Actualizar rápidamente tanto tu motor CMS como todos los temas y complementos asociados a sus últimas versiones.
Auditar de forma rutinaria tus complementos y temas, y eliminar de inmediato los que no uses.
Crear depósitos de copias de seguridad tanto de tu sitio web como de tu base de datos de forma regular. Esto garantiza que puedas restaurar rápidamente el funcionamiento de tu sitio web en caso de que esté en riesgo.
Comprueba si hay cuentas de usuario innecesarias y privilegios de acceso excesivos.
Elimina rápidamente las cuentas desactualizadas o que no se utilizan, y otorga solo los privilegios mínimos necesarios para las activas.
Establece una directiva de contraseña segura y una autenticación de dos factores obligatoria para todas las cuentas con privilegios de administrador.
Lleva a cabo formaciones periódicas para los empleados sobre los principios básicos de ciberseguridad. Kaspersky Automated Security Awareness Platform puede ayudarte a automatizar este proceso.

Los peligros ocultos del “vibe coding”

Cómo el código generado por IA está cambiando la ciberseguridad y qué deben esperar los desarrolladores y los “vibe coders”.

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Causas de las discrepancias en las puntuaciones del Sistema Común de Puntuación de Vulnerabilidades (CVSS, por sus siglas en inglés), errores comunes al usar el CVSS para priorizar vulnerabilidades y cómo hacerlo correctamente.

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Desglosamos el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS): para qué sirve, cómo se usa en la práctica y por qué la puntuación Base es solo el comienzo (y no el final) de la evaluación de vulnerabilidades.

Lluvia de bitcoins: Falso regalo de Nvidia

Cómo los estafadores engañan a usuarios de criptomonedas con un regalo falso de Nvidia cuyo supuesto valor es de 50.000 BTC.

Te chantajean porque te han pillado viendo porno

Dicen que tienen un video de ti viendo pornografía, te amenazan con mandárselo a tus amigos y te piden una recompensa en bitcoins. ¡No la pagues! Te explicamos cómo funciona esta estafa.