La búsqueda solía ser el preludio al riesgo. Ahora, en muchas líneas de tiempo de incidentes. es el riesgo.
Un viaje de "descarga" moderno suele comenzar con una consulta, no con un portal de proveedores. Si el primer resultado parece correcto, la mayoría de los usuarios consideran esa posición como una aprobación implícita. Los atacantes se han dado cuenta. No necesitan un día cero si pueden ganar confíe en-y en 2026, la confianza es algorítmica: sistemas de clasificación, motores de respuesta y recuperación impulsada por IA.
Este artículo se basa en un estudio de caso verificado de FortiGuard Labs de Fortinet: una campaña de envenenamiento de SEO dirigida a usuarios de Windows de habla china mediante la promoción de sitios de software falsos en los resultados de búsqueda y la distribución de malware a través de una cadena de redireccionamiento por etapas con un script llamado nice.js. (Fortinet)
A partir de ahí, generalizamos en un modelo de defensor que abarca tres campos de batalla superpuestos:
- Envenenamiento SEOmanipulando el ranking de búsqueda tradicional para impulsar los clics humanos.
- Envenenamiento por GEOmanipular los resultados de los "motores generativos" sembrando la web o los corpus con contenidos optimizados para ser resumidos por los LLM.
- Intoxicación por OEAmanipular los sistemas de respuesta (fragmentos destacados, "respuestas", herramientas de agentes) para que los responder se convierte en el señuelo o la instrucción.
Seremos estrictos con lo que se verifica y separaremos las pruebas primarias (investigación de proveedores, organismos de normalización) de los informes secundarios (noticias escritas). Cuando algo sea plausible pero no esté probado en los informes primarios, se enmarcará como un patrón, no como una afirmación sobre la campaña concreta.
1) La nueva trampa de la confianza: por qué el "mejor resultado" es un canal de acceso inicial
Los defensores tienden a modelar el acceso inicial como un pequeño conjunto de puntos de entrada: correo electrónico, servicios expuestos, medios extraíbles, cadena de suministro. Los resultados de las búsquedas suelen tratarse como "comportamiento del usuario", un problema de formación.
Ese encuadre está anticuado. La búsqueda es ahora una superficie de acceso inicial escalable y medible porque:
- La intención del usuario es alta ("Necesito esta herramienta ahora").
- La acción es privilegiada (descarga y ejecución).
- Los avisos de seguridad parecen normales (los instaladores solicitan permisos).
- El retorno de la inversión del atacante es excelente (un señuelo bien posicionado puede superar volúmenes masivos de phishing).
En el caso de FortiGuard, los operadores abusaron de los plugins SEO y registraron dominios similares para colocar sitios de software falsos en un lugar destacado de los resultados de búsqueda, dirigidos específicamente a usuarios de habla china. (Fortinet)
La perspicacia que hay que conservar: no burlaron primero los controles de seguridad; burlaron el proceso de toma de decisiones de la víctima.
2) Un estudio de caso verificado: Campaña de Envenenamiento SEO de FortiGuard
Lo que está confirmado (fuente primaria)
Según el análisis publicado por Fortinet, en agosto de 2025 FortiGuard Labs identificó una campaña de envenenamiento SEO dirigida a usuarios de habla china. Los atacantes:
- Rankings manipulados con plugins SEO.
- Utilización de dominios similares con pequeñas sustituciones de caracteres.
- Páginas falsas que imitan sitios legítimos de descarga de software.
- Utilizó una cadena por etapas que incluía un script llamado
nice.jspara redirigir a las víctimas hacia una carga útil final. (Fortinet)
Fortinet informa de que la campaña entregó Hiddengh0st y Winos variantes. (Fortinet)
Qué aporta la información secundaria (útil, pero no primaria)
Algunos informes y resúmenes secundarios amplían los temas de infraestructura y las familias asociadas (por ejemplo, menciones de malware adicional como kkRAT). Trátelos como contextuales, no como autoritarios sobre el informe principal. (Noticias Hacker)
3) El verdadero "chivatazo" técnico: Escaleras de redireccionamiento y nice.js
Si sólo se centra en el instalador final, hereda una ventaja de los atacantes: pueden rotar los binarios más rápido de lo que los defensores pueden crear firmas.
El objetivo de detección más duradero es el lógica de entrega.
Fortinet describe nice.js como la coordinación de un flujo de redirección de varios pasos en el que el script devuelve JSON que contiene otra URL, que devuelve otra respuesta JSON, que en última instancia conduce a la descarga final del payload. (Fortinet)
Esto es importante porque crea una firma de telemetría de red que a menudo persiste aunque cambien las cargas útiles:
- Peticiones HTTP(S) repetidas que devuelven objetos JSON que contienen URLs.
- Navegaciones rápidas de varios saltos antes de la petición binaria final.
- Descarga de eventos procedentes de dominios vistos recientemente que imitan marcas.
Descanso defensivo: instrumento y alerta en comportamiento de redirección por etapasno sólo el hash final del archivo.
4) Operaciones de "instalador troyanizado": Por qué siguen funcionando
Un instalador es el envoltorio perfecto para la ingeniería social:
- Los usuarios esperan que sea ejecutable.
- Los usuarios esperan que solicite la elevación.
- Los usuarios esperan actividad en la red ("comprobar actualizaciones").
- Los usuarios toleran las ventanas emergentes de la interfaz de usuario y las descargas durante la instalación.
Esta es la razón por la que "sitio de software falso → instalador" es un conducto de acceso inicial tan eficaz, y por la que el envenenamiento SEO no es "sólo un abuso de marketing". Es un sistema de entrega.
Para evitar exageraciones: el informe de Fortinet confirma la entrega por etapas y las familias de malware; no publica necesariamente todos los detalles de comportamiento de los endpoints que algunos escritos atribuyen (por ejemplo, técnicas exactas de persistencia). Así que en esta sección hablamos de patrones comunes que los atacantes utilizan en las cadenas de instaladores troyanizados, sin afirmar que todos ellos se dieran en el caso de Fortinet.
Los patrones típicos que deben asumir los defensores están sobre la mesa:
- Un instalador de aspecto legítimo y un payload oculto.
- Binarios para la ejecución y la persistencia.
- Comprobaciones antianálisis que ralentizan o cambian el comportamiento en las cajas de arena.
- Robo de credenciales y sesiones como "fase de beneficio".
5) Del envenenamiento SEO al envenenamiento GEO / AEO: Cuando las respuestas se convierten en la superficie de ataque
Buscar envenenamiento solía ser clasificación. La próxima ola está a punto de ser seleccionado por modelos.
Una vez que las organizaciones incorporan los LLM a los flujos de trabajo (bots de soporte, búsqueda interna, copilotos, automatización agéntica), el modelo de amenazas cambia:
- El usuario ya no puede hacer clic en un enlace.
- El modelo recupera contenidos, los resume y actúa en él.
- El "veneno" puede incrustarse en un texto que parezca documentación.
Por ello, la intoxicación por GEO/AEO no es sólo teoría, sino que se ajusta a las categorías de riesgo reconocidas del LLM.
Las 10 mejores listas de OWASP para aplicaciones LLM Inyección inmediata como el principal riesgo, y también incluye Envenenamiento de datos de formación y Vulnerabilidades de la cadena de suministro como categorías principales. (Fundación OWASP)
Lo más destacado del NIST inyección rápida indirecta como ataques en los que los adversarios inyectan avisos en los datos que probablemente recuperen las aplicaciones integradas en LLM, exactamente la estructura que cabría esperar en las campañas de envenenamiento GEO/AEO. (Publicaciones del NIST)
Y el Centro Nacional de Ciberseguridad del Reino Unido advierte que la inyección puntual no es análoga a la inyección SQL; la falta de una frontera limpia "datos vs instrucciones" la hace fundamentalmente más difícil de eliminar. (NCSC)
Así que el mapa tiene este aspecto:
- Envenenamiento SEO...hacer que un humano ejecute una carga útil.
- Envenenamiento por GEO: obtener un modelo para prefiera su contenido en resúmenes.
- Intoxicación por OEAConseguir que un modelo emita una "respuesta" que se convierta en la decisión del usuario o en la siguiente acción de un agente.
El modo de fallo compartido: la confianza se delega en sistemas optimizados para la relevancia, no para la integridad adversarial.
6) Un modelo de amenaza defensiva para las campañas de intoxicación
Trate las campañas de envenenamiento como una tubería con tres capas. Esto evita que los equipos se fijen en la parte "más chula" (el malware) y pasen por alto la parte "más repetible" (la entrega).
Capa A: Atracción (cómo llegan las víctimas)
- Manipulación del ranking (abuso SEO)
- Dominios similares
- Selección de idiomas y páginas de señuelos localizadas
- Consultas de alto nivel ("descargar X", "instalar X", "crack", "instalador offline")
Capa B: Entrega (cómo llega la carga útil al punto final)
- Escaleras de redireccionamiento multisalto (scripts que devuelven URL JSON)
- Alojamiento desechable y rutas de rotación rápida
- "Embalaje de carga útil "en forma de instalador
Capa C: Ejecución y persistencia (lo que ocurre después del clic)
- La carga útil se ejecuta como parte del flujo de instalación
- Mecanismos de persistencia
- Robo de datos, movimiento lateral, C2
El informe de Fortinet proporciona pruebas de alta fiabilidad de la Capa A y la Capa B en esta campaña (abuso de plugins SEO, dominios de apariencia similar, y nice.js puesta en escena), y confirma las familias de malware entregadas. (Fortinet)
7) El Juego Práctico de la Detección: Atrápalo antes de que caiga el binario
7.1 Proxy web y telemetría de red: detectar la escalera, no la carga útil
Señales sobre las que vale la pena alertar:
- Múltiples redireccionamientos en poco tiempo, especialmente en dominios no relacionados.
- Respuestas JSON que contienen URLs, seguidas inmediatamente de navegación saliente hacia esas URLs (un patrón de "escalera JSON").
- Descarga de ejecutables poco después de visitar un dominio recién visto.
Si utiliza pasarelas web seguras, cree un grupo de reglas para consultas de software de alta intención y descarga del ejecutable y edad del dominio no fiable.
7.2 Controles DNS: los dominios similares son un problema previsible
En los entornos empresariales, el filtrado de DNS es uno de los controles con mayor retorno de la inversión. Las listas de bloqueo son frágiles; lo que se busca es una capa de políticas que reduzca la exposición:
- Filtrado de dominios recién registrados (NRD).
- Detección de marcas similares (homoglifo y distancia de edición).
- Bloquear categorías como "alojamiento de archivos recién observados" cuando sea práctico.
7.3 Controles de terminales: bloquear el comportamiento "instalador anómalo
Aunque no pueda detener la descarga, puede detener la ruta de ejecución:
- Listas de aplicaciones permitidas (control de aplicaciones de Windows Defender / políticas tipo AppLocker).
- Bloqueo de la ejecución desde directorios escribibles por el usuario para tipos de archivo de alto riesgo.
- Aplicar la gestión de las marcas de la Web y las protecciones SmartScreen siempre que sea posible.
8) Flujo de trabajo de validación "Pruébelo" (Windows)
La forma más sencilla de reducir la falsa confianza es crear un flujo de trabajo de verificación repetible: demostrar de dónde procede el archivo, quién lo ha firmado, qué hace y qué ha tocado.
8.1 Validación rápida de ficheros (segura y práctica)
# Comprobar firma Authenticode
Get-AuthenticodeSignature .\Installer.exe | Format-List
# Crea un hash del archivo (compáralo con los hashes publicados por el proveedor cuando estén disponibles)
Get-FileHash .\\Installer.exe -Algoritmo SHA256
# Compruebe si hay un identificador de marca de la Web/zona (si está presente)
Get-Item -Path .\\Installer.exe -Stream Zone.Identifier -ErrorAction SilentlyContinue
Si el archivo no está firmado, está firmado por un editor inesperado o carece de información de procedencia cuando debería tenerla, escalar.
8.2 Lista mínima de comprobación de la procedencia de las descargas
Pregúntelas (y regístrelas) siempre:
- ¿Qué consulta condujo a la descarga?
- ¿Qué dominio ha servido la página?
- ¿Había una cadena de redireccionamiento?
- ¿Qué dominio sirvió el binario?
- ¿Fue firmado el binario? ¿Por quién?
- ¿Qué proceso lo generó? ¿Desde dónde?
- ¿Inició conexiones salientes inmediatamente?
Esto convierte la "historia del usuario" en datos de investigación.
9) Por qué los CVE siguen siendo importantes aquí (incluso cuando el envenenamiento no es un CVE)
El envenenamiento SEO/GEO/AEO suele ser "abuso", no "vulnerabilidad". Pero los atacantes suelen combinar el envenenamiento con CVE para reducir la fricción y aumentar la fiabilidad.
Estos son los patrones CVE que los defensores deben tratar como alto apalancamiento en ecosistemas de descarga envenenada:
CVE-2024-21412 (desviación de SmartScreen)
Esto se describe ampliamente como una evasión de la función de seguridad SmartScreen de Microsoft Defender, con análisis de proveedores reputados que describen narrativas de explotación y la necesidad de parchear. (www.trendmicro.com)
Por qué es importante en este contexto: si puedes eludir las comprobaciones de confianza del origen de los archivos, puedes convertir una "descarga aterradora" en un "clic normal".
CVE-2023-38831 (WinRAR ejecución arbitraria de código a través de ZIP crafteado)
National Vulnerability Database describe CVE-2023-38831 como un problema de WinRAR que permite la ejecución de código arbitrario cuando un usuario intenta ver un archivo benigno en un ZIP que contiene una carpeta de nombre similar con contenido ejecutable, señalando la explotación in-the-wild en 2023. (NVD)
Por qué es importante: a las campañas de descargas envenenadas les encanta el engaño basado en archivos porque se basa en las expectativas del usuario ("es sólo una imagen / documento").
CVE-2022-30190 (Follina / MSDT RCE)
Microsoft publicó una guía explicando que CVE-2022-30190 permite la ejecución remota de código cuando MSDT es invocado a través de un manejador de protocolo URL desde una aplicación de llamada como Word, permitiendo a los atacantes ejecutar código con los privilegios de la aplicación de llamada. (Microsoft)
CISA también emitió una alerta sobre el mismo tema y orientaciones para mitigarlo. (CISA)
Por qué es importante: las páginas envenenadas de "instrucciones" y los "ayudantes de descarga" a menudo conducen a rutas de ejecución de documentos en empresas reales.
CVE-2025-8088 (la explotación de WinRAR sigue ocurriendo después del parche)
Google Threat Intelligence Group informó de la explotación activa generalizada de CVE-2025-8088 en WinRAR, señalando que fue descubierto y parcheado en julio de 2025, pero sigue siendo explotado en diversas operaciones. (Nube de Google)
Por qué es importante: el envenenamiento se nutre de a realidad actual-existen parches, pero los entornos son desordenados, y los atacantes planean en consecuencia.
10) Controles que pueda hacer cumplir (no sólo "tenga cuidado")
Una base empresarial realista
1) Política de adquisición de software con una "vía de confianza"
Hágalo explícito: el software debe proceder de dominios de proveedores, tiendas oficiales, catálogos gestionados o réplicas internas. "Descargado de los resultados de búsqueda" no es una ruta aprobada.
2) Aplicación de DNS + SWG
Utilice el filtrado NRD y la detección de parecidos para reducir la exposición a dominios falsos. Esto es especialmente eficaz contra las campañas que se basan en señuelos recién registrados.
3) Control de la aplicación
Si no puede restringir las descargas, restrinja la ejecución. Apunta a lo obvio: rutas que el usuario puede escribir, carpetas temporales y tipos de scripts de alto riesgo.
4) Detección del comportamiento del EDR
Quieres detecciones para:
- el instalador genera procesos hijo inesperados
- balizas de salida inmediata tras la instalación
- creación de persistencia sospechosa
5) Ejercicios de simulación de situaciones de búsqueda envenenada
Muchos equipos practican el phishing; muchos menos, la "descarga desde la búsqueda". Esta brecha es exactamente donde viven estas campañas.
Los comentarios secundarios en torno a la campaña identificada por Fortinet destacan que los usuarios confían en los primeros resultados y que el envenenamiento SEO aprovecha esa confianza a gran escala. (Seguridad)
Utilice esa información para justificar el presupuesto destinado a controles que vayan más allá de la formación.
11) Defensa de los sistemas GEO / AEO (aplicaciones LLM, agentes, búsqueda interna)
Si su organización está desplegando copilotos, asistentes de IA o flujos de trabajo de agentes, necesita controles de "integridad de la respuesta". Esto no es opcional si el asistente puede tocar datos o herramientas sensibles.
11.1 Aplicar niveles de procedencia y fuente de verdad
Póliza básica de ayuda inmediata:
- Exija citas para cualquier respuesta que afirme un hecho.
- Restrinja qué dominios son fuentes elegibles para acciones de alto riesgo (descargas, scripts, cambios de configuración).
- Mantener "fuentes de oro" para los libros de ejecución internos y los avisos a los proveedores.
Esto concuerda con el marco de riesgos más amplio de OWASP: la inyección, el envenenamiento y los problemas de la cadena de suministro son los principales riesgos de seguridad de LLM. (Fundación OWASP)
11.2 Tratar el contenido recuperado como entrada no fiable
El NIST describe la inyección indirecta de avisos como adversarios que inyectan avisos en fuentes de datos recuperables para explotar aplicaciones integradas en LLM. (Publicaciones del NIST)
Eso significa que su capa RAG es parte de su superficie de ataque.
Barandillas prácticas:
- Elimine o ponga en cuarentena patrones similares a instrucciones del texto recuperado cuando el sistema esté a punto de ejecutar herramientas.
- Separar la "recuperación de información" de la "ejecución de acciones" con confirmación humana explícita en las acciones de alto impacto.
- Registre el contexto de recuperación que influyó en cualquier acción (para que pueda investigarlo más tarde).
11.3 Aceptar el riesgo residual y diseñar los límites del radio de voladura
El Centro Nacional de Ciberseguridad del Reino Unido sostiene que la inyección puntual difiere de la inyección SQL y no puede "resolverse" con un único enfoque de mitigación limpio; la implicación es que el diseño del sistema debe asumir defensas imperfectas y limitar el impacto. (NCSC)
Así que construye la contención en el agente:
- Acceso a herramientas con privilegios mínimos
- Restricciones de salida de la red para los tiempos de ejecución de los agentes
- Entornos de ejecución aislados para flujos de trabajo de "descarga y ejecución".
- Límites de velocidad y detección de anomalías en las llamadas a herramientas
12) Una tabla de asignación compacta (para que los equipos de seguridad puedan operacionalizar)
| Capa de envenenamiento | Lo que manipula | Víctima típica | Palanca defensiva principal |
|---|---|---|---|
| Envenenamiento SEO | ranking + clickthrough | usuario humano | DNS/SWG + política + control de aplicaciones |
| Envenenamiento por GEO | lo que se resume en un LLM | humano + modelo | listas de fuentes + procedencia + higiene del corpus |
| Intoxicación por OEA | lo que se presenta como "la respuesta" | humano + agente | aplicación de citaciones + bloqueo de acciones + sandboxing de herramientas |
Esta es una forma útil de explicar las necesidades presupuestarias: los controles difieren porque el límite fiduciario difiere.
Si su equipo trata el envenenamiento SEO/GEO/AEO como "sólo concienciación", el programa decaerá en carteles y almuerzos y charlas. El enfoque más sólido es la validación continua: pruebe sus controles funcionan con un comportamiento de usuario realista.
Penligent.ai puede encajar de forma natural en esa capa de validación, no como un escudo mágico. Por ejemplo, puedes utilizar un flujo de trabajo de pentest basado en la automatización para verificarlo continuamente:
- Las políticas de DNS y de pasarela web segura bloquean los dominios y NRD similares,
- Los controles de ejecución de puntos finales impiden que los instaladores sin firma se inicien en rutas que el usuario puede escribir,
- Las reglas de salida y alerta detectan los patrones de descarga por etapas antes de la ejecución de la carga útil.
Penligent se posiciona como una plataforma de pruebas de penetración impulsada por IA orientada a la reproducibilidad y la generación de informes de la cadena de pruebas, que es exactamente lo que necesitan los equipos de ingeniería de seguridad a la hora de convertir la "política" en "control demostrable." (Penligente)
Si quieres ejemplos de cómo puede ser en la práctica este estilo de escritura sobre seguridad "demuéstralo", los artículos de investigación de Penligent (por ejemplo, las profundas inmersiones en CVE específicas y los flujos de trabajo de verificación) son un buen formato de referencia para audiencias que prefieren la ingeniería. (Penligente)
13) Un apéndice defensivo: Qué vigilar y qué bloquear
13.1 Señales mínimas a recoger (si no recoge nada más)
- Consultas DNS + IP de respuesta + enriquecimiento de la edad del dominio
- Registros proxy con cadenas de redireccionamiento y tipos de contenido
- Creación de procesos de punto final (padre/hijo, líneas de comandos)
- Eventos de escritura de archivos de tipo ejecutable y script
- Conexiones salientes activadas por procesos de instalación
13.2 Una sencilla declaración de política de "descargas de riesgo" que puede hacer cumplir
Si la organización no puede imponer "descargar sólo de fuentes aprobadas", debe imponer "ejecutar sólo de editores aprobados", además de "no ejecutar desde ubicaciones grabables por el usuario", además de "integridad SmartScreen/MOTW".
Esa combinación rompe muchas cadenas de búsqueda envenenada, incluso cuando los usuarios siguen haciendo clic.
Referencias
- Análisis de Fortinet / FortiGuard Labs de la campaña de envenenamiento SEO (incluye
nice.jspuesta en escena y notas sobre la familia del malware). (Fortinet) - OWASP Top 10 para grandes aplicaciones de modelos lingüísticos (inyección de prompts, envenenamiento de datos de entrenamiento, cadena de suministro). (Fundación OWASP)
- Discusión del perfil GenAI del NIST sobre la inyección indirecta de prompt (contenido recuperado como vector de ataque). (Publicaciones del NIST)
- Centro Nacional de Ciberseguridad del Reino Unido sobre por qué la inyección puntual difiere de la inyección SQL. (NCSC)
- CVE-2023-38831 (WinRAR) - Entrada en la base de datos nacional de vulnerabilidades. (NVD)
- CVE-2022-30190 (Follina) - Guía de Microsoft + alerta CISA. (Microsoft)
- CVE-2024-21412 (SmartScreen bypass) - cobertura de análisis y proveedores de confianza. (www.trendmicro.com)
- CVE-2025-8088 (WinRAR explotación post-patch) - Google Threat Intelligence Group informe. (Nube de Google)
- Análisis en profundidad de CVE de Penligent: Análisis de acciones del servidor Next.js (ejemplo de narrativa "demuéstralo"). (Penligente)
- Penligent long-form CVE verification-focused post: CVE-2025-49132. (Penligente)
- Índice de Penligent Hacking Labs (para entradas relacionadas). (Penligente)
Spanish 
English 
German 
French 
Portuguese 
Japanese 
Korean 
Hindi 
Arabic 
Turkish 
Hebrew