Tecnología Innovación Ciencia Inteligencia Artificial Ciberseguridad Calendario de Eventos TIC 2026

CIBERSEGURIDAD

Colcert alerta por manipulación SEO en dominios .gov.co

Home Ciberseguridad
Dirección copiada

El Grupo de Respuesta a Emergencias Cibernéticas de Colombia (Colcert) emitió una alerta técnica sobre una campaña de cloaking que afecta portales gubernamentales (.gov.co). Esta técnica manipula motores de búsqueda para promocionar sitios de apuestas ilegales usando la reputación institucional.

Publicado el 13 de feb de 2026
Sandra Defelipe Díaz

Periodista especializada en tecnología, en medios digitales, producción de contenidos y liderazgo editorial

Ataque de cloaking afecta sitios .gov.co: alerta del ColCERT (
Imagen: Vía Freepik

El Grupo de Respuesta a Emergencias Cibernéticas de Colombia (Colcert) emitió una alerta técnica tras identificar una campaña activa de manipulación de motores de búsqueda que afecta a sitios web institucionales bajo el dominio .gov.co. El ataque utiliza una técnica avanzada denominada cloaking (encubrimiento), la cual permite a los atacantes aprovechar la reputación digital de las entidades públicas para promocionar sitios de apuestas ilegales y casinos tailandeses sin que el personal administrativo o la ciudadanía lo perciban a simple vista.

Esta modalidad no busca la exfiltración de datos confidenciales, sino el abuso de la autoridad de dominio de las instituciones para mejorar el posicionamiento SEO (Search Engine Optimization) de portales fraudulentos. Al ser sitios gubernamentales, los algoritmos de búsqueda les otorgan una alta confianza, lo que facilita que el contenido malicioso escale posiciones rápidamente en los resultados de búsqueda.

¿En qué consiste la mecánica del engaño mediante ‘cloaking’?

El vector de ataque comienza con la explotación de vulnerabilidades en sistemas de gestión de contenidos (CMS) como WordPress o Drupal, o en complementos (plugins) desactualizados. Una vez que el atacante logra el acceso inicial, inyecta código malicioso en archivos críticos del servidor o directamente en la base de datos.

El componente central de la amenaza es la detección del User-Agent. Cuando una persona accede al portal, el servidor entrega el contenido legítimo, manteniendo la apariencia de normalidad. Sin embargo, si el servidor identifica que la solicitud proviene de un rastreador de motores de búsqueda, como el Googlebot, suministra metadatos y enlaces relacionados con juegos de azar.

De acuerdo con el análisis técnico del Colcert, el atacante implementa “reglas condicionales en archivos .htaccess basadas en User-Agent” para ocultar los artefactos maliciosos a la vista de las organizaciones. Esto provoca que, al realizar una búsqueda en Google, el título y la descripción del sitio institucional aparezcan reemplazados por caracteres tailandeses (como สล็อต) y términos como “777 slot casino”.

Imagen: Colcert.

¿Qué señales técnicas revelan un compromiso en la infraestructura?

La detección de este incidente requiere una auditoría técnica profunda, ya que la navegación convencional no revela la infección. El Colcert recomienda a los equipos de tecnología monitorear indicadores de compromiso (IoCs) específicos a nivel de contenido y servidor.

Entre los hallazgos frecuentes se encuentran archivos .php con funciones sospechosas como eval(), base64_decode(), gzinflate() y shell_exec(), utilizadas comúnmente para ejecutar código ofuscado y mantener la persistencia mediante web shells. También se ha reportado la alteración de etiquetas <title>, metadescripciones y la sustitución del favicon institucional por íconos externos vinculados a sitios de apuestas.

“Se trata de un compromiso orientado a la manipulación SEO, con mecanismos de persistencia y evasión activa”, explicó el equipo técnico del ColCERT en su análisis de encadenamiento táctico bajo el marco MITRE ATT&CK. El informe destaca que el impacto principal es el defacement interno, afectando la reputación digital de la entidad sin modificar visiblemente la interfaz para la ciudadanía.

¿Cuáles son las medidas urgentes para la recuperación y defensa?

Para las entidades que confirmen el compromiso, la hoja de ruta de remediación exige la erradicación de los scripts maliciosos y la restauración de sistemas desde respaldos confiables. No obstante, la limpieza no es suficiente si no se cierran las brechas de entrada; por ello, es imperativo actualizar el CMS, los temas y todos los complementos activos, además de implementar autenticación multifactor y configurar un Firewall de Aplicaciones Web (WAF). Adicionalmente:

  • Ejecutar búsquedas tipo site:midominio.gov.co casino / slot / 777.
  • Comparar contenido servido a usuario normal vs. simulando Googlebot.
  • Revisar archivos .php con modificaciones recientes.
  • Verificar cambios no autorizados en , metadatos y favicon.
  • Revisar .htaccess y tareas programadas (cron).
  • Validar usuarios administrativos no reconocidos.

La prevención a largo plazo depende de una política de actualización continua y el bloqueo de la ejecución de código PHP en directorios destinados únicamente a la carga de archivos, limitando así la capacidad de los atacantes para desplegar herramientas de persistencia.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Sandra Defelipe Díaz
Periodista especializada en tecnología, en medios digitales, producción de contenidos y liderazgo editorial
Periodista de la Universidad de la Sabana, productora, formadora y emprendedora digital, con 12 años de experiencia en periodismo tecnológico, en los medios ENTER.CO y, desde su concepción, de Impacto TIC, medio en el cual ha liderado procesos periodísticos y de redes sociales. Mantiene la curiosidad por temas de tecnología, emprendimiento, música, periodismo, marketing digital y deportes, y su segunda profesión es la capoeira. También ha sido estratega digital en proyectos como Hangouts de Periodismo, el programa radial Mujeres en Almanaque, en la emisora comunitaria La Exitosa Radio, e impulsa un emprendimiento familiar y cooperativo de productos orgánicos y campesinos, Huerta Don Iván.
Sígame en

Leer también:

Temas

Canales

Artículos relacionados

  • La estrategia de Zoho en IA además del Zia LLM destaca el uso de agentes nativos en su plataforma

  • anuncios

    Zoho anuncia su propio LLM y refuerza su estrategia de IA

    17 Jul 2025

    por Jorge Hernández

    Compartir
  • Agentes de IA: Wise Agents, el modelo colombiano para escalar la productividad global

  • Inteligencia Artificial

    Agentes de IA: Wise Agents, el modelo colombiano para escalar la productividad global

    23 Sep 2025

    por Sandra Defelipe Díaz

    Compartir
  • HITACHI Data Center como Servicio_2

  • empresas

    Data Center como servicio dotado con IA y Regulador de Tensión de Línea Compacto, las innovaciones de Hitachi

    23 Jul 2025

    por Redacción Impacto TIC

    Compartir
  • El último Cyberforum 2025 realizado por Marsh McLennan en Bogotá, abarcó desde el auge de la Inteligencia Artificial hasta el momento de mercado blando de los cyber seguros

  • TENDENCIAS

    Cyberforum 2025: Es un buen momento para comprar un seguro cyber

    23 Oct 2025

    por Jorge Hernández

    Compartir