Press "Enter" to skip to content

webspam en comentarios, google al «acecho»

la verdad es que es cada día es más interesante esto de internet; es tan fácil hacer cualquier cosa de forma MASIVA y DAÑINA…

hoy me he encontrado en el correo con 9 o 10 comentarios nuevos a este blog, en diferentes entradas y todos en inglés. Al momento lo he reconocido como spam: no son realmente comentarios a mis entradas sino simples textos «basura» del tipo «ah, me encanta tu weblog, volveré por aquí a menudo», pero con un enlace a una página que quieren promocionar

publicado por simples robots, normalmente desarrollados en lenguajes de script (WSHs o incluso .BATs) y con herramientas tan simples y efectivas como wget, permiten bombardear millones de webs en unas horas añadiendo enlaces a quien ellos quieran, camuflados como comentarios

¿para qué?

por supuesto, para aumentar notoriedad en google, que hasta ahora utiliza un algoritmo para dar más importancia a los webs más enlazados, por lo que siempre interesa tener muchos links a tu propio web; con comentarios en páginas que google indexa se pueden poner enlaces a webs que quieras que suban en la lista de resultados, mejorando lo que google llama PageRank

también como simple spam, parecido al tradicional: enlaces que si los pulsas te llevan a la venta de viagra, remedios caseros para el crecimiento del pene, del pelo, MBAs en una semana o sin cursos, en fin, lo de siempre…

¿cómo lo evito?

  • instalando versiones actualizadas de tu software de blog, foros, comentarios, etc. para que no utilicen algún bug del sistema para publicar sin permiso y sin moderación los comentarios
  • obligando a los usuarios a registrarse (argh!) o al menos a introducir información como nombre y el email. Si es posible, es interesante que se compruebe ese email: por ejemplo, que el sistema de comentarios les envíe al email un enlace de aprobación, de forma que mientres el usuario que ha publicado el comentario no pulse el enlace de ese correo, el mensaje no aparece; así por un lado dificultamos y normalmente impedimos al «robot» el envío y por otro nos aseguramos de tener una dirección de correo real de quien ha publicado un comentario de verdad (para poder entablar una flame wars en privado) 🙂
  • instalando un sistema de CAPTCHA (una imagen con texto aleatorio que sea difícil o imposible de leer de forma automatizada, con un OCR) y que el usuario tenga que escribir para que se publique su comentario; esto funciona bien, pero molesta al usuario; afortunadamente, otros (yahoo, por ejemplo) se han encargado ya de ir entrenando a los usuarios de internet de que es un mal menor y necesario, añadiéndolo desde hace tiempo a sus formularios importantes
  • también puede limitarse simplemente activando (si existe) la «moderación» de los comentarios, de forma que recibas en tu correo un aviso de que se ha enviado un comentario y te pregunta si lo quieres publicar; el problema es que tu bandeja de entrada puede verse inundada de un nuevo tipo de spam
  • en mi caso, resulta que en unos cambios de hace un par de semanas había dejado desactivada por error la opción de publicar automáticamente sin especificar el e-mail… ¡y eso que no es la primera vez que me pasa algo así, aunque no en mi página personal!

    con WordPress, el software/plugin Akismet hace un trabajo magnífico de filtro de spam revisando cada uno de los comentarios que se intentan publicar en la página, pero no es siempre fiable (como cualquier antispam de correo)

¿cómo lo hacen?

es bastante sencillo si se sabe programar (incluso en shell, wsh o BAT)

lo primero que hacen es ver cómo publicar un comentario en una tecnología concreta; por ejemplo WordPress, que lo tienen MILLONES de usuarios en internet. Basta con averiguar cómo es la sintaxis de la publicación de un comentario a cualquier entrada: normalmente se trata de un envío HTTP POST con unos parámetros (título del comentario, texto y campos adicionales que hagan falta)

luego necesitan una lista de direcciones de internet que usen esa tecnología; para ello, Google es la herramienta perfecta; es fácil detectar con google si un web usa una tecnología como WordPress mirando en la sintaxis de sus URL o comprobando si existe una URI típica de WordPress en tu servidor (la búsqueda avanzada de Google permite buscar trozos de URI)

con la lista y los textos que quieres publicar, normalmente con enlaces, ya tienes todo lo necesario para hacer una publicación masiva utilizando cualquier herramienta en línea de comandos como por ejemplo wget, que te permite realizar un POST con unos simples parámetros

examinando el spam que recibí, que tenían más de una URL de destino y sin aparente relación, parece tarea de una red «alquilable», más sofisticada que lo descrito arriba y con más de un cliente que les paga por incrementar la notoriedad de sus webs; es sencillo: una «empresita» monta este sistema de forma un poco más elaborada y vende el servicio al mejor postor o a todos los que paguen por ello

cuidado: no es sólo una estúpida molestia

pero cuidado! Google está tomando cartas en el asunto y está incluso eliminando de su índice los webs que muestran enlaces a sitios sospechosos; eso significa que podrías ver desaparecer de google tu web (y con él, probablemente la mayoría de tus usuarios o potenciales clientes) como les ha ocurrido hace poco a JavaLobby

por ello, precaución ahí fuera, revisad la seguridad de vuestros foros, sistemas de comentarios, participación anónima, etc.

por ejemplo, un simple sistema de publicación de anuncios por palabras debería por lo menos ser filtrado para eliminarle el HTML; esto cae de cajón: siempre debemos filtrar para evitar errores tipo XSS o SQL injection, pero puede que los enlaces los «dejemos pasar» como benignos… pero acaban siendo usados en esta forma de web spam

One Comment

  1. good good…this post deserves nothing 🙁 …hahaha just joking 😛 …nice post 😛

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.