No te fíes de lo que ves: por qué el primer resultado en Google ya no garantiza que estés entrando en la banca en línea de tu banco.
Cuanto más conocido sea el camino, más fácil es pasar por alto una trampa.
El equipo de analistas Fortra Intelligence and Research detectó una plataforma clandestina que en pocos años se ha convertido en un mercado completo de servicios para manipular los resultados de búsqueda. Un grupo que se hace llamar Haxor utiliza un esquema de SEO poisoning, lo que permite que páginas de phishing y maliciosas lleguen a las primeras posiciones en los buscadores y se hagan pasar por sitios de conocidas instituciones financieras.
El proyecto recibió el nombre HxSEO y opera en los mensajeros Telegram y WhatsApp. Su servicio principal es la venta de enlaces desde sitios legítimos ya hackeados, lo que crea la ilusión de confianza hacia las páginas maliciosas. Los analistas de Fortra registraron casos en los que páginas falsas de acceso a la banca en línea aparecían en las búsquedas por encima de los sitios oficiales de grandes bancos internacionales. Gracias a ello, los usuarios accedían a recursos falsos sin sospechar la suplantación.
La base del esquema es una red de dominios comprometidos, muchos de los cuales tienen entre 15 y 20 años. Estos sitios gozan de un alto nivel de confianza por parte de los algoritmos de búsqueda, por eso los enlaces desde ellos potencian significativamente la posición de las páginas falsas. Tras el pago, Haxor añade un enlace malicioso en el recurso legítimo mediante webshells instalados de antemano, asegurando el aumento del ranking del sitio del comprador. El costo de un enlace es de aproximadamente 6 dólares en equivalente de rupia indonesia, lo que hace el servicio accesible para distintos grupos de atacantes.
Aparte de la venta de enlaces, los participantes de la red aplican técnicas clásicas de SEO negro: sobrecarga de palabras clave en las páginas, texto oculto y contenido generado automáticamente. Todo ello ayuda a elevar los sitios maliciosos en los resultados para consultas relacionadas con finanzas, servicios jurídicos y servicios empresariales. Como resultado, los usuarios acaban en páginas destinadas al robo de credenciales o en sitios que distribuyen software malicioso, incluidos programas de rescate y programas que roban información.
Según Fortra, la infraestructura de Haxor se basa en el uso masivo de vulnerabilidades en componentes PHP y en plugins de WordPress. Para gestionar los sitios comprometidos se utiliza una versión modificada de un conocido webshell, ya detectada anteriormente en ataques contra organizaciones financieras en 2025. La escala de la red y el bajo umbral de entrada al servicio permiten realizar ataques en serie, lo que hace que estas campañas sean especialmente peligrosas.