Saber si tu web está hackeada exige mirar donde el malware moderno se esconde: el hackeo ruidoso del sitio desfigurado es el menos común, y el silencioso es la norma, la infección que trabaja meses sin que el dueño la note porque está diseñada para eso, el spam que solo ven los buscadores, las redirecciones que solo disparan en móvil, los usuarios fantasma esperando su momento, las diez señales no obvias que esta lista documenta con su test de cinco minutos cada una, las verificaciones que cualquier dueño puede correr hoy, porque el malware oculto vive de no ser buscado, y la revisión periódica de esta lista es la diferencia entre descubrirlo temprano con daño chico o tarde con la reputación ya cobrada.
Tabla de Contenidos
¿Por qué el hackeo moderno es silencioso?
Porque el ruido mata el negocio del atacante: el sitio comprometido vale por su tráfico y su reputación mientras nadie sospeche, el spam inyectado que aprovecha tu autoridad de dominio, las redirecciones que monetizan tus visitas, el servidor que trabaja para otros, los usos que exigen discreción, y por eso las infecciones se diseñan invisibles para el dueño, el contenido que solo se muestra a los bots de los buscadores, el cloaking clásico, las redirecciones condicionadas por dispositivo o por origen, el administrador que entra normal mientras el visitante de Google móvil termina en otra parte. La consecuencia operativa es de método: la salud del sitio no se verifica mirándolo como dueño, se verifica con los tests de esta lista, las miradas desde afuera y desde los rincones que el malware usa, el chequeo mensual de esta serie que el pilar de mantenimiento anual incluye y el servicio de diseño web ejecuta como rutina.
Las señales 1 a 5: lo que se ve desde afuera
La uno es el spam en tus resultados de Google: el test del operador de sitio, tu dominio buscado completo, los resultados recorridos buscando títulos que no son tuyos, las farmacias, los casinos, los caracteres asiáticos, las páginas inyectadas que solo el índice muestra, el cinco minutos más revelador de la lista. La dos son las redirecciones condicionadas: el test desde el celular con datos móviles y desde el resultado de búsqueda, no escribiendo la URL directa, el sitio visitado como llega un usuario real, la redirección que solo dispara en ese camino detectada. La tres es el aviso de los navegadores y buscadores: el test de la navegación limpia, tu sitio visitado en incógnito buscando la advertencia de sitio engañoso, más la consola de búsqueda revisada en su sección de seguridad, el aviso oficial que muchos dueños nunca abren. La cuatro es el correo del dominio rebotando: el test de envío a cuentas propias externas, los correos del dominio llegando a spam de pronto, la señal de que el dominio cayó en listas negras por actividad del sitio. Y la cinco es el tráfico extraño en las analíticas: el test de las fuentes y páginas vistas, las URLs que no existen recibiendo visitas, los picos desde países sin relación con tu negocio, el rastro del contenido inyectado trabajando.
Las señales 6 a 10: lo que se ve desde adentro
La seis son los usuarios fantasma: el test de la lista de usuarios completa, los administradores que nadie creó, las cuentas con nombres genéricos o extraños, la puerta trasera con forma de usuario que se revisa en dos minutos. La siete son los archivos modificados sin razón: el test de las fechas en el gestor de archivos, los archivos del núcleo con modificaciones recientes que nadie hizo, los nombres extraños en las carpetas de subidas, los PHP donde solo deberían vivir imágenes. La ocho son los plugins o temas que nadie instaló: el test del inventario contra la memoria, las piezas desconocidas en la lista, las activas que nadie recuerda, el inventario de esta serie como referencia que delata lo ajeno. La nueve es la lentitud súbita sin causa: el test del rendimiento comparado, el sitio pesado de un día a otro sin cambios propios, el servidor trabajando en algo que no es tu web, el minero o el spam saliente consumiendo. Y la diez son las tareas programadas extrañas: el test avanzado de los cron del sitio, las tareas con nombres raros o frecuencias absurdas, el mecanismo de reinfección favorito que sobrevive limpiezas superficiales, la señal que amerita ayuda experta al encontrarla.
El test completo y la decisión según resultados
La rutina junta las diez en una sesión: la media hora mensual que corre los tests en orden, los cinco desde afuera primero, el operador de sitio, el móvil, los avisos, el correo, las analíticas, los cinco desde adentro después, los usuarios, los archivos, el inventario, el rendimiento, los cron, la hoja simple con el resultado de cada uno, limpio o sospechoso, el registro que vuelve comparable cada revisión, y la decisión por resultados, todo limpio archiva la sesión y agenda la siguiente, una señal sospechosa se verifica con escaneo profundo, las herramientas de detección corridas, y dos o más señales activan el protocolo de emergencia de esta serie, el sitio tratado como comprometido con las veinticuatro horas de la guía hermana. La calibración evita el pánico: las señales tienen falsos positivos, el usuario olvidado legítimo, el pico de tráfico real, la verificación antes del alarma, y la regla de la duda persistente, el sospechoso que no se puede descartar se escala a revisión experta, porque el costo de mirar de más es una consulta y el de mirar de menos es el incidente completo, la asimetría que toda esta serie repite porque el mercado la olvida cada vez.
Preguntas frecuentes
¿Cada cuánto debo correr estos tests?
La rutina mensual como estándar del pilar: la media hora en el calendario junto a las demás revisiones de esta serie, y los disparadores extra que adelantan la sesión, el aviso de un cliente, la rareza en las analíticas, la noticia de una vulnerabilidad grande en algo que usas. El sitio con mantenimiento profesional ya los tiene cubiertos: la pregunta a tu proveedor de qué chequeos corre y cuándo.
¿Un antivirus o plugin de seguridad no detecta todo esto?
Detecta parte y complementa, no reemplaza: los escáneres encuentran firmas conocidas y se les escapan las inyecciones nuevas o las condicionadas, las señales desde afuera de esta lista ven lo que el escáner interno no, el spam ya indexado, la redirección móvil. La combinación es el método: el escaneo automático más los tests manuales de la lista, las dos miradas que juntas cubren lo que cada una sola deja pasar.
¿Qué hago si encuentro una señal pero el sitio se ve normal?
La señal manda sobre la apariencia: el sitio se ve normal para ti por diseño del malware, esa es exactamente la táctica, y la señal encontrada se verifica con el siguiente nivel, el escaneo profundo, la revisión de logs, la consulta experta donde persista la duda. El se ve bien del dueño es el dato menos confiable de la lista: las señales existen porque la vista normal no alcanza.
¿KOM corre estos chequeos como servicio?
Son parte del mantenimiento: la rutina de señales en el calendario mensual, los escaneos automáticos complementarios, y la respuesta de emergencia cuando algo aparece, dentro de los planes cotizados en el cotizador online con los precios públicos de siempre. La detección temprana es el seguro barato: el incidente encontrado chico cuesta una fracción del descubierto tarde.
Tu siguiente paso: corre ahora el test número uno, tu dominio con el operador de sitio en Google, los resultados recorridos buscando lo que no es tuyo, los cinco minutos que más infecciones silenciosas destapan. El chequeo completo se cotiza en el cotizador online: el malware moderno vive de no ser buscado, y la lista de esta guía es exactamente cómo se le busca.
