¿Te estás promocionado en una web porno?

Una de las formas más comunes de conocer de dónde viene el tráfico, es a través de la etiqueta referer en el tráfico HTTP. Este campo muestra cuál fue la página que contenía el enlace hacia la web, y queda registrado en los logs del servidor para poder ser estudiado. 

El estudio de la etiqueta referer puede permitir conocer cuándo se hace "hotlinking" de imágenes o recursos ajenos, o detectar casos de phishing, ataques, etc. Esto es lo que hacemos con uno de nuestros servicios (LSI, Log Security Inspector). Aunque el servicio no se limita al estudio de los referer para detectar casos de phishing, sino que también puede llegar a darnos información de qué clientes de las entidades bancarias están infectados, sin necesidad de instalar nada en ellos, solo estudiando sus logs.

El caso es que durante el estudio rutinario de nuestro servicio, observamos en un referer una (conocida) página de vídeos pornográficos, que llevaba a la raíz de la web del banco. Esto inmediatamente lleva a pensar a que en esa página había un enlace al banco y que alguien llegó a él a través del vídeo de la señorita desnuda.

Habitualmente los bancos se preocupan de dónde aparece su publicidad y qué páginas usan sus servicios, por tanto, podrían pensar que de alguna manera, un enlace a la web principal de su banco se ha alojado en el sitio pornográficos y un usuario ha pinchado en él. Sin embargo, al visitar la página del vídeo, aparecen muchas cosas... pero ninguna referencia en su código por ningún sitio.

La explicación, sin embargo, es sencilla. El referer es falso, y debe haber sido manipulado mientras se ha visitado el frontal del banco. Esta técnica se utiliza para promocionar la web a cualquier precio. Un robot visita páginas con el referer apuntando a la página que se desea promocionar. La esperanza es que los logs acaben indexados por Google de alguna forma, y así aumentar su pagerank. Las páginas que abiertamente publican sus logs, son más apreciadas, pero realmente lo intentan con cualquiera. Es más, la web en concreto, es conocida por explotar vulnerabilides en Java y ejecutar el virus de la policía a través de sus anuncios... por lo que puede ser usado el referer no solo para alzar la web en buscadores, sino para además hacer que algún administrador de logs "pinche" por curiosidad buscando el enlace a su web (que no encontrará). Por tanto, no, la web no necesariamente se está anunciando en páginas porno.