Inicio/Glosario/Recuperación SEO tras un hackeo

SEO técnico

Recuperación SEO tras un hackeo

La recuperación SEO tras un hackeo es el proceso de devolver un sitio comprometido a su estado limpio y a su visibilidad orgánica después de una intrusión que inyecta spam, redirige a los usuarios o instala malware. Combina saneamiento técnico, desindexación de las páginas maliciosas y una solicitud de revisión a Google.

Indexación & rastreo Infraestructura & seguridad

Qué es

Un sitio comprometido es aquel en el que un atacante ha aprovechado una vulnerabilidad —del CMS, de un plugin, de las credenciales o de un acceso FTP/SFTP— para inyectar contenido que no controla su propietario. Google clasifica estos problemas en su informe de Problemas de seguridad de Search Console en tres familias: contenido pirateado, malware o software no deseado, e ingeniería social (phishing). El contenido pirateado, a su vez, tiene tres variantes: inyección de URL (páginas spam nuevas), inyección de contenido (texto o enlaces añadidos a páginas existentes) e inyección de código (código malicioso que redirige o mina criptomonedas).

Un patrón habitual es el "japanese keyword hack": páginas autogeneradas con texto en japonés, alojadas en directorios de nombre aleatorio (por ejemplo, example.com/ltjmnjp/341.html), que enlazan a tiendas de falsificaciones y se cuelan en los resultados de Google. Muchos de estos ataques se apoyan en cloaking: muestran un contenido a Googlebot y otro distinto —a menudo un 404 o una redirección— al visitante directo, lo que complica detectarlos y limpiarlos.

La recuperación sigue un orden definido por la documentación de Google y web.dev: detectar y delimitar el alcance (inspección de URL, operador site:), expulsar al atacante (revocar verificaciones desconocidas en Search Console, rotar credenciales), sanear los archivos (limpiar reglas maliciosas en .htaccess, reinstalar el core del CMS, eliminar sitemaps spam y ficheros PHP maliciosos), retirar del índice las páginas spam (404/410), solicitar la revisión en el informe correspondiente y, por último, blindar la web frente a la reinfección.

Recuperación tras un hackeo

Detectar, limpiar, recuperar el índice y blindar

Detección (alerta en Search Console)OK

Limpieza del spam inyectadoOK

Eliminación del índiceEn curso

Hardening posteriorPendiente

Por qué importa

Un sitio marcado como comprometido pierde de golpe confianza y visibilidad: aparece la advertencia "Este sitio puede estar comprometido" en los resultados o un interstitial en el navegador, y el tráfico orgánico puede desplomarse. El daño no es solo de posiciones: también afecta a la imagen del dominio y a la seguridad de quien lo visita. La inyección masiva de páginas spam erosiona además la Autoridad temática del dominio, esa señal acumulada de credibilidad que Google asocia a un sitio cuando lo enlaza desde contenido de baja calidad, y contamina las señales de E-E-A-T (experiencia, pericia, autoridad y confianza) que sostienen la valoración del dominio.

Entender el proceso ayuda a actuar en el orden correcto y a no dar por limpio lo que sigue oculto bajo cloaking. La verificación se apoya en el Rastreo e indexación: solo importa lo que ve Googlebot, no lo que ve el navegador. La revisión de Google suele tardar de unos días a una o dos semanas, pero ningún plazo ni recuperación de posiciones está garantizado: la visibilidad orgánica depende de Google. Limpiar bien y blindar después —con Hardening y seguridad de servidores: rotación de credenciales, parcheo del CMS, permisos de fichero— reduce el riesgo de reinfección, que es donde más sitios reinciden.

En profundidad

Tipos de compromiso según Google

Google distingue tres familias en el informe de Problemas de seguridad: contenido pirateado, malware o software no deseado, e ingeniería social (phishing). El contenido pirateado se subdivide en inyección de URL (páginas spam nuevas), inyección de contenido (texto o enlaces añadidos a páginas legítimas) e inyección de código (código que redirige o mina criptomonedas). Identificar el tipo orienta dónde buscar y qué sanear. Si Google detecta spam pirateado, además puede aplicar una acción manual, así que conviene revisar también el informe de Acciones manuales.

Tipo de compromiso	Subtipo / forma	Dónde mirar
Contenido pirateado	Inyección de URL (páginas spam nuevas)	Cobertura + site: por patrones de URL
Contenido pirateado	Inyección de contenido (texto/enlaces en páginas reales)	Páginas legítimas y su HTML servido a Google
Contenido pirateado	Inyección de código (redirige o mina cripto)	Plantillas, JS, .htaccess
Malware / software no deseado	Binarios o descargas dañinas	Informe de Problemas de seguridad
Ingeniería social	Phishing / suplantación	Informe de Problemas de seguridad

Detección y delimitación frente al cloaking

La detección llega por las alertas de Search Console, por la advertencia en la SERP y por un rastreo manual con el operador site:. El reto es el cloaking: la página muestra el spam a Googlebot pero un 404 o una redirección al visitante directo. Por eso la limpieza no se verifica mirando la web en el navegador, sino con la herramienta de inspección de URL, que consulta lo que ve Google en su Rastreo e indexación. Cuando la inyección es masiva, el Análisis de logs —revisar los accesos reales de Googlebot al servidor— ayuda a mapear qué URLs spam se están rastreando y desde dónde.

Alerta en Search ConsoleAviso en Problemas de seguridad como primera señal

Advertencia en la SERPEtiqueta de 'sitio comprometido' visible en resultados

Rastreo manual con site:Operador site: para descubrir páginas spam indexadas

Mirar la web en el navegadorEl cloaking sirve 404/redirección al visitante directo: no fiable

Inspección de URLConsulta lo que ve Google, no lo que ve el visitante: verificación real

Saneamiento ordenado

El orden recomendado: revocar accesos y verificaciones no autorizadas y rotar credenciales; limpiar las reglas de reescritura maliciosas en .htaccess; reinstalar los archivos del core del CMS; y eliminar los sitemaps spam y los ficheros PHP maliciosos, detectables por fecha de modificación, tamaño y código ofuscado. Saltarse pasos —limpiar páginas sin expulsar antes al atacante— deja la puerta abierta a una reinfección inmediata. Esta fase entronca con el Hardening y seguridad de servidores: una vez limpio, el blindaje (parcheo, permisos, control de accesos) es lo que evita reincidir. En WordPress, parte de la inspección y el saneamiento puede automatizarse vía mcp-wordpress/">MCP para WordPress, que da a un agente acceso controlado al CMS.

Expulsar al atacante

Revocar accesos y verificaciones no autorizadas; rotar credenciales

→

Limpiar reescrituras

Eliminar reglas maliciosas en .htaccess

→

Reinstalar el core

Reponer los archivos del core del CMS desde origen limpio

→

Purgar spam y PHP

Borrar sitemaps spam y ficheros PHP maliciosos (fecha, tamaño, ofuscación)

Desindexación y solicitud de revisión

Las páginas spam deben devolver 404 o 410, confirmándolo con la herramienta de inspección de URL. El propio fichero de Sitemap XML hay que depurarlo: eliminar las entradas spam que el atacante haya inyectado para acelerar el rastreo de sus páginas. Solo cuando todo el sitio está limpio y verificado se pulsa "Solicitar revisión" en el informe de Problemas de seguridad (y en el de Acciones manuales, si aplica), describiendo el problema, lo que se ha limpiado y lo que se ha blindado. La revisión de Google suele tardar de unos días a una o dos semanas.

Desindexar spam

Las páginas spam devuelven 404 o 410

→

Confirmar con Google

Verificar el estado real con la herramienta de inspección de URL

→

Solicitar revisión

Solo con todo limpio: describir problema, limpieza y blindaje

→

Esperar el veredicto

Google revisa en un plazo de días a una o dos semanas

Qué observar

Las señales que importan.

Advertencia "Este sitio puede estar comprometido" en la SERP

Google añade esta etiqueta —o un interstitial en el navegador— cuando detecta contenido pirateado o malware. Es la señal más visible para el usuario y suele coincidir con una alerta en el informe de Problemas de seguridad.

Páginas spam indexadas bajo directorios desconocidos

Resultados con texto en japonés o caracteres aleatorios, en rutas que nadie creó (típico del japanese keyword hack), apuntan a inyección de URL. Indican que el atacante genera páginas para monetizar con enlaces de afiliación.

Verificación de la propiedad por un usuario desconocido

Si en Search Console figura una verificación que nadie autorizó, es muy probable que el sitio esté comprometido. Revocar esos accesos es uno de los primeros pasos de la recuperación.

Caída brusca de tráfico orgánico o títulos extraños en site:

Un descenso repentino, o resultados con títulos y descripciones ajenos al sitio al consultar site:tudominio.com, señalan páginas inyectadas o redirecciones. El operador site: ayuda a delimitar el alcance frente al cloaking.

Alerta de seguridad en el informe de Problemas de seguridad

Search Console notifica el tipo de compromiso detectado. La lista que muestra es solo una muestra, no un inventario completo: conviene rastrear el resto del sitio por cuenta propia.

Conceptos clave

El vocabulario del término.

Contenido pirateado: Categoría de Google para el contenido que un atacante inyecta en un sitio comprometido. Tiene tres variantes: inyección de URL (páginas spam nuevas), inyección de contenido (texto o enlaces en páginas existentes) e inyección de código (redirecciones o criptominado).
Japanese keyword hack: Ataque que genera páginas autogeneradas con texto en japonés en directorios de nombre aleatorio (ej. example.com/ltjmnjp/341.html), enlazadas a tiendas de falsificaciones para monetizar con afiliación. Daña la visibilidad e imagen del dominio.
Cloaking (encubrimiento): Técnica que muestra a Googlebot un contenido distinto del que ve el visitante directo (a menudo un 404 o una redirección). En un sitio hackeado dificulta detectar y verificar la limpieza, que debe comprobarse con la inspección de URL.
Informe de Problemas de seguridad: Sección de Google Search Console donde se notifican los compromisos detectados (contenido pirateado, malware o ingeniería social) y desde donde se solicita la revisión tras limpiar el sitio. La lista de ejemplos que muestra es solo una muestra.
Herramienta de inspección de URL: Función de Search Console que muestra cómo ve Google una URL concreta. Es la forma fiable de confirmar que una página spam devuelve 404/410 o que ya no hay cloaking, en lugar de fiarse de lo que muestra el navegador.
.htaccess: Fichero de configuración del servidor (Apache) donde los atacantes suelen insertar reglas de reescritura o redirección maliciosas. Limpiarlo es uno de los pasos del saneamiento, antes de reinstalar el core del CMS.
Acción manual: Sanción aplicada por un revisor de Google, notificada en el informe de Acciones manuales. Puede acompañar a un compromiso de spam pirateado; su flujo de limpieza y solicitud de revisión es análogo al de Problemas de seguridad.

Dónde lo aplicamos

¿Te han hackeado?→

Casos de uso · Recuperación SEO tras un hackeo[PENDIENTE]

Aún no mostramos casos.

No inventamos resultados. Cuando tengamos casos reales —anonimizados y medibles— donde este concepto marcó la diferencia, vivirán aquí.

Conceptos relacionados

SEO técnicoRastreo e indexación→Infraestructura técnicaHardening y seguridad de servidores→SEO técnicoRedirecciones 301 y migraciones→SEO técnicoCanonicalización y duplicados→SEO técnicoAnálisis de logs→Infraestructura técnicaMCP para WordPress→SEO técnicoDatos estructurados→SEO técnicoSitemap XML→

Fuentes

Fix the Japanese keyword hack · 2026-06-01
Security issues report - Search Console Help · 2026-06-01
#NoHacked 3.0: Fixing common hack cases · 2017-12
Helping hacked sites with reconsideration requests · 2015-09
Manual actions report - Search Console Help · 2026-06-01
Recovering Website SEO After a Hack · 2026-06-01

Una pieza del glosario.

Forma parte del glosario de SEO, analítica e IA de InnovaOrigen Tech: un mapa de conceptos definidos con criterio y fuentes. Si quieres llevarlo a tu caso, lo vemos sin compromiso.

Explora el glosario → Agenda una llamada