Ataque Core web Vitals

Este fin de semana estuve en Sevilla asistiendo al CSMD junto a Èlia (ES). Fue un fin de semana muy intenso pero terriblemente divertido, y es que por allí coincidimos grandes amigos del sector del marketing, SEO y desarrollo, como es el caso de Álvaro Fontela, de Raiola (ES), Rafa Sospedra, de Kupakia (ES), Miguel Florido, de MarketingAndWeb (ES), Miguel Trabado…

En fin, gente buena, ya sabes 🙂

El caso es que por supuesto, cuando uno asiste a este tipo de eventos, entre cerveza y cerveza aprende mucho, tanto con los jaleos que tenemos los empresarios con clientes, como por el conocimiento de cada uno de ellos.

Podría hablar de varias de las charlas que me encantaron, pero me vais a permitir centrarme en un tema en particular que tocó Alvarito en su charla.

Hablo de la posibilidad de utilizar las Core Web Vitals de Google como Caballo de Troya para realizar ataques de WPO negativos, y por tanto, el potencial de joder el SEO de una página.

Pero ¿qué es eso de las Core Web Vitals, Pablo?

Empecemos por el principio…

¿Qué son las Core Web Vitals?

Básicamente las CWV son una serie de métricas (EN) que utiliza Google para valorar la experiencia de usuario que ofrece una web.

¿Que cómo lo mide?

Pues teniendo en cuenta varias métricas temporales sobre cómo carga (a qué velocidad) cada parte de la página. Es decir, cuánto tarda, de media, la página en ser pintada parcial o totalmente por el motor de renderizado del navegador que está usando el usuario en ese momento.

De nada nos sirve a nosotros, como usuarios, que por ejemplo el menú superior de esta página cargue rapidísimo, si luego el resto de la web tarda varios segundos. Y por el mismo motivo, no es lo mismo que dos webs semejantes carguen completamente ambas en, por ejemplo, 3 segundos, si la primera se tira medio segundo en mostrar por primera vez el texto (lo que en principio vienes a consumir de la web) y ya el resto en mostrar elementos de diseño, y la segunda carga todo a la vez, pero tras dos segundos cincuenta segundos.

Podría parecer que esto no es importante, pero en Internet se vuelve crítico. Amazon, de hecho, hace ya unos años mostró un estudio en el que demostraba cómo arañar apenas una décima de segundo la velocidad de carga de sus perfiles de producto hacía que aumentasen las ventas en más de un 10%.

Google, por supuesto, no es tonta, y por tanto ya desde hace unos cuantos años tiene en cuenta esto a la hora de considerar qué páginas muestra primero en los resultados de búsqueda.

Es decir, que Core Web Vitals es un elemento de SEO a considerar.

La duda, no obstante, es saber en qué porcentaje afectan las CWV al SEO.

¿Afectan las Core Web Vitals al posicionamiento SEO?

Alvaro lo decía muy claro en su charla: Afectan, pero quizás no tanto como muchos SEOs y WPOs consideran.

Y es que no hay más que aplicar el puro sentido común.

¿Qué es lo que más afecta a una página de cara a posicionarse para unas búsquedas en particular? Pues que resuelvan de la mejor forma posible dicha intención de búsqueda.

Esto es, que el contenido haga que el usuario que tiene esa duda entre en la página, pase un tiempo en ella, y ya no necesite seguir buscando (haga backlinking).

En esto, por supuesto, el que la web cargue más rápido, y lo haga además dando prioridad al contenido, con un diseño que acompañe y no moleste, AYUDA. Pero vaya, que no es crítico.

Al menos, no más que la calidad del contenido (acuérdate, escribe para personas y los robots de Google acabarán llegando). Al menos, no más que criterios puramente de indexación (ponerle las cosas fáciles a Google para que entienda de qué hablas).

Pero oye, es un elemento más que influye, y como tal, conviene saber cómo Google lo mide, y mejor aún, si esto puede ser utilizado por un tercero para realizar ataques de SEO negativo.

¿Cómo mide Google las CWV?

Pues mira, lo mide gracias a tí y a mi.

¿Que a qué me refiero? Pues que si tu navegador en el móvil, la tablet o el ordenador es Chrome (o Chromium con servicios de Google), la compañía está utilizándote para que cada vez que entres a una web, realizar un diagnóstico de CWV, y por supuesto subirlo a sus servidores.

Además, nosotros podemos en cualquier momento calcular cómo está una web entrando en PageSpeed (ES) y buscando la página en cuestión.

Muchos desarrolladores webs utilizan esta variable como si fueran los 10 Mandamientos, buscando como locos un 100 o un 9X tanto en ordenador como en móvil.

El problema de esto es que, como veremos a continuación, estas métricas se pueden tergiversar. Pese a que Google mitiga (al menos en parte) los posibles ataques.

¿Te preocupa tu Seguridad y Privacidad Online?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.

Las Core Web Vitals como sistema de ataque de WPO negativo

Como hemos explicado, las Core Web Vitals se generan en base los datos que obtiene tu dispositivo a la hora de cargar una página.

Por supuesto, no es lo mismo hacerlo con un ordenador de última generación conectado por cable a 1GBs de fibra óptica, que tendrá alrededor de 11ms de latencia, que hacerlo, por ejemplo, con mi iPad de la generación de hace dos años (donde estoy ahora mismo escribiendo este artículo) conectado por tethering a la red 4G de mi móvil Google Pixel 5, con una conexión muchísimo más inestable (ando por los 30-40ms de latencia media, con subidas puntuales de casi 100ms).

Las Core Web Vitals está afectadas tanto por la potencia del dispositivo (su capacidad de renderizar javascript, que es al final lo que más sobrecarga una web) y por la velocidad de conexión, y también por su latencia.

Para intentar homogeneizar esto, Google fuerza a que como máximo, a la hora de medir las Core Web Vitals (ES):

  • Se emula la conexión mediante el hardware que tendría un Motorola Moto G4.
  • Se pone un máximo de velocidad de 1,6 MBs.
  • Se pone una latencia mínima de 150ms.

Con esto, el problema de diversidad de mediciones desaparece, ¿verdad?

Pues no.

Claro que no.

Aún con esto, ¿qué pasa con aquellas conexiones cuyas métricas son peores que los requisitos mínimos que Google fuerza para realizar la medición? Pues que no le queda otra que tenerlas en cuenta.

Y esto, considerando además que:

  • Cada vez más hay navegación web desde móvil que desde escritorio (y por tanto cada vez más con dispositivos más limitados en cuanto a rendimiento, velocidad y latencia).
  • El porcentaje de dispositivos móviles de gama baja es muy alto en algunos mercados (véase por ejemplo el latinoamericano).

¿Ya vas viendo por dónde puede venir el ataque?

Bastaría con que alguien con los recursos suficientes usara una granja de dispositivos de gama de entrada, con conexiones muy limitadas, conectándose continuamente con Google Chrome a tu página para que, en el cómputo global de CWV de la página, las métricas sean menores.

Y al ser menores, en efecto, estaríamos haciendo un ataque de SEO negativo, consiguiendo que esa web no posicione tan bien como debería posicionarse… al estar engañando unas pocas de todas las métricas que Google tiene en cuenta a la hora de posicionar una página.

Y sí, Álvaro también recordaba que Google, sabedores de esto, hacen una ponderación del 85% percentil de los resultados (minimizando por tanto el impacto de ataques dirigidos como este), y cargándose de paso los resultados de mercados donde la infraestructura de navegación es muy pobre (si me lees desde Centroamérica, o desde África, que sepas que tus conexiones no son tomadas a la hora de valorar las métricas de CWV; sencilla y llanamente para Google no eres considerado un usuario confiable).

Así que ya sabes.

Es posible realizar ataques de SEO negativo afectando a los resultados de las métricas de Core Web Vitals.

Otra cosa es que no sea más fácil, de cara a realizar un ataque de SEO negativo, simplemente realizar un ataque DDoS a la página para tumbarla durante horas, o con suerte durante días, y que los errores de indexación hagan su trabajo…

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.