Quería ver el partido — «hackeó» a la UE: spammers se apoderan de los principales dominios europeos

Un intento inesperado de ver la transmisión del partido India — Pakistán llevó a un investigador de la red a descubrir un subdominio comprometido de europa[.]eu, que los atacantes utilizaban para spam SEO y para redirigir a sitios de streaming fraudulentos. En lugar de un servicio oficial de transmisión, Google le ofreció un enlace al dominio de la UE que prometía indicar dónde ver el partido. Pero al seguirlo conducía a recursos sospechosos: resultó que se había comprometido el servidor de desarrollo openapi-dev[.]ema[.]europa[.]eu.

Al encontrar ese resultado de búsqueda anómalo, el autor del estudio abrió el enlace en un entorno aislado y enseguida notó el esquema clásico de envenenamiento SEO: las páginas en el dominio oficial mostraban encabezados como "Aquí está la forma de ver" y luego redirigían a transmisiones fraudulentas aleatorias. El comportamiento variaba con el tiempo —a veces un error, a veces un redireccionamiento—, lo cual es característico de campañas masivas de SEO que se adaptan a las tendencias.

Al analizar la URL, el investigador entendió que se trataba de un servidor de desarrollo abierto que, al parecer, había caído en manos de atacantes y se usaba para generar contenido basura. El intento de encontrar el contacto adecuado lo llevó a Twitter, donde colegas de la industria indicaron la dirección correcta de CERT-EU. En un correo remitió los enlaces sospechosos y describió el comportamiento del recurso. Al principio, el personal de CERT-EU no pudo reproducir el problema —para entonces parte del contenido malicioso ya se había cambiado o había desaparecido—, pero tras enviar capturas de pantalla y más detalles empezaron a investigarlo. El 6 de noviembre de 2025 CERT-EU confirmó: el host dev vulnerable fue limpiado, el problema fue resuelto.

Paralelamente, el investigador determinó que no se trataba de un caso local: inserciones similares de SEO y se detectaron redirecciones también en otros sitios importantes, incluidos dominios gubernamentales y corporativos en Nueva Zelanda, Estados Unidos e incluso en michelin.com. Todo ello apuntaba a una campaña amplia, similar en técnica a ataques masivos de SEO descritos anteriormente a través de plataformas web vulnerables.

El autor subraya: no es un caso que vaya a entrar en el "salón de la fama" por la vulnerabilidad encontrada —no se trata de una falla crítica ni de una ejecución remota de código (RCE). Pero esas compromisiones silenciosas son importantes: minan la confianza en dominios grandes, explotan su reputación y hacen que los usuarios hagan clic en enlaces peligrosos que se hacen pasar por fuentes fiables. Y para los defensores es una señal importante: incluso los subdominios de desarrollo pueden ser indexados por los buscadores, convertirse en objetivo de ataques y afectar la seguridad de toda la infraestructura.

Según el investigador, los atacantes encontraron la forma de sustituir el contenido SEO en un servidor dev de acceso público, luego cambiaban regularmente las palabras clave por temas de tendencia como partidos de alto interés, y el tráfico lo redirigían a sitios de streaming asociados o fraudulentos. En su opinión no hubo una intrusión a gran escala: de lo contrario, un dominio tan confiable se habría usado para ataques mucho más complejos.

En su análisis destaca varias lecciones: los servidores de prueba deben protegerse con la misma rigurosidad que los de producción; el spam SEO no es "basura inofensiva" sino un indicador de puntos débiles; contar con un security.txt correcto ahorra tiempo y acelera la respuesta; y cualquier resultado de búsqueda sospechoso debe verificarse y comunicarse —a veces esto conduce a la eliminación real de una compromisión.

La historia, que empezó con el deseo de ver un partido, terminó con la limpieza del servidor dev de la UE. El autor bromea diciendo que "no salvó a la UE", pero hay motivo para sonreír: una consulta atenta en Google ayudó a limpiar la infraestructura de un ataque SEO silencioso pero dañino.