{"id":104,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/es\/malware-cloaking-googlebot-verificacion-ip-wordpress\/"},"modified":"2026-01-20T06:32:43","modified_gmt":"2026-01-20T05:32:43","slug":"malware-cloaking-googlebot-verificacion-ip-wordpress","status":"publish","type":"post","link":"https:\/\/helloblog.io\/es\/malware-cloaking-googlebot-verificacion-ip-wordpress\/","title":{"rendered":"Malware que \u201csaluda\u201d a Googlebot: cloaking avanzado en WordPress con verificaci\u00f3n real de IP"},"content":{"rendered":"\n

En seguridad web ya no basta con buscar redirecciones descaradas o un eval()<\/code> perdido. Cada vez vemos m\u00e1s campa\u00f1as que juegan a ser invisibles: el sitio carga perfecto para humanos (y para el propietario), pero entrega contenido distinto a los rastreadores. El objetivo suele ser SEO spam, robo de reputaci\u00f3n o indexaci\u00f3n de p\u00e1ginas que en realidad no existen para el usuario normal.<\/p>\n\n\n\n

En una investigaci\u00f3n reciente se observ\u00f3 una variante especialmente cuidada: el malware no se conformaba con mirar el User-Agent<\/code>. Validaba que la visita ven\u00eda de verdad<\/em> desde la infraestructura de Google usando rangos de IP asociados a su ASN (Autonomous System Number) en formato CIDR, con comprobaciones bit a bit, incluyendo soporte s\u00f3lido para IPv6.<\/p>\n\n\n\n

\"Diagrama
El malware decide qu\u00e9 contenido servir seg\u00fan User-Agent e IP verificada. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

El patr\u00f3n: index.php como portero del sitio<\/h2>\n\n\n\n

El hallazgo clave fue una modificaci\u00f3n en el index.php<\/code> principal de WordPress. Ese archivo, que normalmente act\u00faa como entrada y termina cargando el flujo est\u00e1ndar (wp-blog-header.php<\/code>), fue alterado para tomar una decisi\u00f3n antes de que WordPress hiciera su trabajo: o bien arrancaba WordPress con normalidad, o bien inyectaba contenido remoto de terceros.<\/p>\n\n\n\n

Esta t\u00e1ctica tiene una ventaja para el atacante: si el propietario revisa el frontend \u201ca mano\u201d, puede no ver nada. El contenido malicioso se reserva para ciertos visitantes (rastreadores y herramientas de Google), por lo que el incidente puede vivir m\u00e1s tiempo sin levantar sospechas.<\/p>\n\n\n\n

\"Comparativa
Ejemplo de discrepancia entre lo que indexa Google y lo que ve un visitante normal. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Qu\u00e9 hace diferente a este cloaking: verificaci\u00f3n real por ASN + CIDR<\/h2>\n\n\n\n

El cloaking (mostrar contenido distinto seg\u00fan el visitante) no es nuevo. Lo llamativo aqu\u00ed es el nivel de verificaci\u00f3n: en vez de fiarse del HTTP_USER_AGENT<\/code> (f\u00e1cil de falsear), el script inclu\u00eda una lista extensa, hardcodeada, de rangos de IP de Google asociados a su ASN y definidos en CIDR. As\u00ed, aunque alguien intente hacerse pasar por Googlebot, si su IP no cae dentro de esos bloques, no recibe el payload.<\/p>\n\n\n\n

Qu\u00e9 es un ASN en este contexto<\/h3>\n\n\n\n

Un ASN (Autonomous System Number) identifica una red en Internet: un conjunto de rangos IP operados por una entidad. Cuando el tr\u00e1fico entra desde rangos asociados al ASN de Google, es una se\u00f1al fuerte de que la petici\u00f3n viene de infraestructura leg\u00edtima de Google (Search, verificaci\u00f3n, herramientas, etc.), no de un bot cualquiera con User-Agent<\/code> falso.<\/p>\n\n\n\n

Qu\u00e9 es CIDR y por qu\u00e9 se usa<\/h3>\n\n\n\n

CIDR es una notaci\u00f3n compacta para describir bloques de IP. En lugar de enumerar miles de direcciones, defines una red con un prefijo, por ejemplo 192.168.1.0\/24<\/code>, que cubre un rango completo. Para filtrados y validaciones automatizadas es muy pr\u00e1ctico, y en manos del atacante permite montar reglas \u201cprecisas\u201d y dif\u00edciles de detectar a simple vista.<\/p>\n\n\n\n

\"Ejemplo
La notaci\u00f3n CIDR permite describir rangos completos de IP de forma compacta. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Impacto real: es un problema de SEO y reputaci\u00f3n (y de detecci\u00f3n)<\/h2>\n\n\n\n

En este tipo de infecci\u00f3n, el da\u00f1o principal suele concentrarse en el posicionamiento y la reputaci\u00f3n del dominio. Si Google rastrea e indexa contenido spam o manipulado que los usuarios no ven, el sitio puede acabar con se\u00f1ales de spam, p\u00e9rdida de confianza, y en el peor caso con desindexaci\u00f3n o bloqueos. Adem\u00e1s, como el propietario ve el sitio \u201cnormal\u201d, el tiempo hasta detectarlo se alarga.<\/p>\n\n\n\n

Se\u00f1ales que suelen delatarlo<\/h2>\n\n\n\n
    \n\n
  • Resultados extra\u00f1os en Google (t\u00edtulos, snippets o URLs que no te suenan).<\/li>\n\n\n
  • Archivos modificados recientemente sin un despliegue planificado (especialmente index.php<\/code>).<\/li>\n\n\n
  • URLs o dominios sospechosos en el c\u00f3digo o en logs (peticiones salientes inesperadas).<\/li>\n\n\n
  • Registros (logs) con redirecciones o comportamientos an\u00f3malos solo para ciertos User-Agents.<\/li>\n\n<\/ul>\n\n\n\n
    \n\n

    Indicador concreto observado<\/h4>\n\n\n

    En el caso analizado se us\u00f3 un dominio remoto para cargar el contenido: amp-samaresmanor[.]pages[.]dev<\/code>. Seg\u00fan el reporte, estaba bloqueado por algunos vendors en VirusTotal y se identificaron varios sitios afectados.<\/p>\n\n<\/div>\n\n\n\n

    C\u00f3mo funciona por dentro: 5 piezas t\u00edpicas del \u201ccrawlers-only payload\u201d<\/h2>\n\n\n\n

    1) Verificaci\u00f3n en capas: User-Agent primero, IP despu\u00e9s<\/h3>\n\n\n\n

    El flujo empieza como muchas campa\u00f1as: b\u00fasqueda de patrones en HTTP_USER_AGENT<\/code> para detectar Googlebot y otras cadenas relacionadas con herramientas de Google (inspecci\u00f3n, verificaci\u00f3n, crawlers de API, etc.). La diferencia es que esto solo es el primer filtro: despu\u00e9s llega la validaci\u00f3n fuerte por IP.<\/p>\n\n\n\n

    \"Esquema
    Primero filtra por User-Agent; luego valida el origen por IP para evitar spoofing. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

    2) Validaci\u00f3n de rangos con operaciones bit a bit<\/h3>\n\n\n\n

    Para confirmar que una IP pertenece a un bloque CIDR, el script aplicaba operaciones bitwise (AND con la m\u00e1scara) en vez de comparaciones de texto. Es una forma cl\u00e1sica y eficiente de comprobar pertenencia a red, pero no es habitual verla integrada de forma tan extensa en scripts de cloaking, y menos a\u00fan con soporte cuidado para IPv6.<\/p>\n\n\n\n

    <\/circle><\/circle><\/circle><\/g><\/svg><\/span>