Spam 2.0: Cuentas de usuario y perfiles spam falsos

miércoles, 8 de julio de 2009

Eres un buen webmaster o un buen desarrollador web y haces todo lo posible para mantener tu sitio libre de cualquier intento de hackeo , así como para mantener foros y secciones de comentarios sin spam . Eres el orgulloso propietario de una activa comunidad social de la web 2.0, que proporciona contenido generado por los usuarios y que, probablemente, obtenga un montón de visitas a través de Google y de otros motores de búsqueda.

Muchos de los visitantes de tu sitio crearán perfiles de usuario, y algunos pasarán horas escribiendo en foros, uniéndose a grupos, interactuando con sus contactos. Y esto es genial.

Otros, sin embargo, crearán cuentas y llenarán sus perfiles de texto sin sentido. O peor aún, añadirán enlaces sospechosos, con código JavaScript para redirigir, o con un vídeo de mentira incrustado que lleva a tus usuarios a los rincones más cutres de la web.

Bienvenido al mundo de los perfiles spam. La web social está creciendo increíblemente deprisa y los spammers consideran cualquier contenido generado por los usuarios como una oportunidad para conseguir tráfico. Tras hablar con webmasters experimentados a los que les sorprendió que esto fuera un problema, decidí que hablaría un poco sobre los perfiles spam y qué se puede hacer para encontrarlos y eliminarlos de tu sitio.

¿Por qué es importante?

Imagínate la situación:

"Hola, bienvenidos a nuestra nueva red social 2.0. Tengo un nuevo amigo para ti. Su nombre es Sr. CompraAlargadorMasculinoPolitonosAhora y le encantaría que echaras un vistazo a su perfil. Tiene NaN años, es de Pharmadelphia, y puedes echar un vistazo a su emocionante página en la dirección https://example.com/trampasegura.

¿No te interesa? Pues entonces déjame que te presente a ChicasBonitasWebCam1234, dice que es una vieja amiga tuya de la universidad y tiene muchas fotos y vídeos interesantísimos que seguro que quieres ver.

Probablemente no desees que la primera impresión de los visitantes de tu sitio sea que es un sitio para incluir imágenes inapropiadas u ofertas de negocio sospechosas. Definitivamente no quieres que tus usuarios se vean acosados por falsas solicitudes, hasta el punto de que paren de visitar tu sitio por completo. Si tu sitio se llena de contenido y enlaces spam, los motores de búsqueda pueden dejar de confiar en el sitio, y es una pena porque, por todo lo demás, el sitio es perfectamente correcto.

¿Por qué iba alguien a crear perfiles spam?

Los spammers crean perfiles falsos por diferentes razones. A veces, son sólo una forma de llegar a los usuarios de las redes sociales desde dentro. Esto es algo parecido a la manera de funcionar de los correos spam. La idea es enviar mensajes o invitaciones falsas para que los usuarios vayan a un determinaado enlace, hagan una compra o descarguen malware.

Los spammers también están utilizando los perfiles spam como otra vía para generar spam en la web en lo que serían dominios buenos si no fuera por estos perfiles. Rastrean la web para buscar oportunidades para crear enlaces sospechosos, generar redirecciones y distribuir malware entre los usuarios. Utilizan tu sitio porque no les cuesta nada y desean aprovecharse de su buena reputación.

Este último caso es cada vez más común. Algunos perfiles falsos son obvios, y utilizan fármacos populares como nombre de perfil. Pero hemos notado un aumento en el número de spammers expertos que intentan utilizar nombres reales y datos realistas para colocar enlaces malos. Para asegurarse de que sus perfiles spam recién creados aparecen en las búsquedas, generan enlaces a sitios hackeados, o con comentarios spam y enlazan a otros perfiles spam. Esto resulta en una gran cantidad de contenido malo en tu dominio, enlaces no deseados a sitios spam y molestias a tus usuarios de verdad.

¿Qué sitios han sido objeto de abuso?

Puede que pienses "Mi sitio no es una gran red social, así que yo no me tengo que preocupar”. Lamentablemente, los perfiles spam se dan en todas partes, desde la red social más grande hasta el más pequeño de los foros. Muchos tablones de anuncios y sistemas de gestión de contenidos (CMS), como vBulletin, phpBB, Moodle, Joomla, etc. generan páginas de miembro para cada usuario que crea una cuenta. En general, los CMS facilitan el uso de las funciones interactivas y la generación de contenido, pero estas páginas generadas de forma automática pueden ser objeto de abuso si no prestas atención.

Para todos aquellos que sí trabajáis en grandes redes sociales, tened en cuenta que vuestro sitio es uno de los objetivos de los spammers. Desean acceder a vuestra gran base de datos, esperando que los usuarios confíen en nuevas solicitudes de amistad, ampliando así sus posibilidades de éxito.

¿Qué puedes hacer?

Esto no es un problema fácil de solucionar, ya que atacan a una gran variedad de sitios y además parecen capaces de adaptar sus scripts para salirse con la suya. Google está bajo ataque constante de spammers que intentan crear cuentas falsas y generar perfiles spam en nuestros sitios y, a pesar de todos nuestros esfuerzos, algunos logran escapar. Aquí tienes algunas de las cosas que les hacen la vida más difícil y mantienen tu sitio limpio y útil:
  • Asegúrate de que dispones de elementos de seguridad en tu sitio , como CAPTCHA , para dificultar la creación masiva de cuentas a los spammers. Vigila comportamientos poco comunes, como miles de cuentas de usuario nuevas creadas a partir de la misma dirección IP, nuevos usuarios que envian miles de solicitudes de amistad, etc. No hay una solución sencilla para este problema, pero a menudo simples comprobaciones evitan los tipos de spam más severos.
  • Dispón de una lista negra , para evitar así intentos de spam repetitivos. A menudo vemos muchos perfiles spam enlanzando todos al mismo dominio, así que si encuentras uno, esto debería facilitar la eliminación de todos los demás.
  • Vigila las vulnerabilidades de cross-site scripting (XSS) [inglés] y otros agujeros de seguridad que permiten a los spammers inyectar código malicioso en las páginas de perfil. Hemos visto la utilización de técnicas como JavaScript para redirigir a los usuarios a otros sitios, iframes para distribuir malware y código CSS personalizado para llenar tu página con contenido spam.
  • Considera aplicar el atributo nofollow a los enlaces de páginas de perfil de usuarios que no son de confianza . Esto hace que tu sitio resulte menos atractivo para cualquiera que intente pasar PageRank de tu sitio a su sitio spam. Los spammers parecen ir a las opciones rápidas, así que aplicar nofollow a los nuevos perfiles que presenten señales sospechosas contribuirá en gran medida a mitigar el problema. Por otro lado, también podrías considerar eliminar el atributo nofollow a los enlaces creados por los miembros de la comunidad que son de confianza, como aquellos que generan contenido significativo de forma regular.
  • Considera la posibilidad de no indexar las páginas de perfil de los nuevos usuarios que aún no consideras de confianza . Puede que incluso quieras hacerlas completamente privadas, especialmente si la mayor parte del contenido de tu sitio está en blogs, foros u otros tipos de páginas.
  • Añade la función "reportar spam " a los perfiles de usuario y las solicitudes de amistad . Tus usuarios pueden ayudarte a solucionar el problema, ya que también cuidan de la comunidad y también les resulta molesto el spam.
  • Vigila los picos de tráfico para consultas sospechosas . Siempre es genial ver que las visitas de tu sitio aumentan, pero presta a tención a consultas de tipo comercial o de contenido adulto que no encajan con el contenido habitual de tu sitio. En casos como este, en los que un spammer ha abusado de tu sitio, ese tráfico beneficiará en nada o casi nada a tu sitio, además de presentarse a tus usuarios como “el sitio que me redirigió a ese virus”.
¿Tienes otros consejos que compartir? ¡Escríbenos un comentario! Para cualquier duda, siempre puedes consultar el Foro de ayuda para webmasters .