Més de 422.000 llocs web van rebre atacs de SEO negatiu durant el 2024, segons el GoDaddy Annual Cybersecurity Report. La xifra sorprèn menys quan entens el barat que resulta: per 5 dòlars a Fiverr, qualsevol pot comprar milers de backlinks spam apuntant al domini d’un competidor. El que sí sorprèn és quants propietaris de llocs web descobreixen l’atac setmanes o mesos després, quan el dany ja està fet i la recuperació es mesura en trimestres, no en dies.
El debat sobre si el SEO negatiu funciona o no segueix obert. Gary Illyes, Analista de Cerca de Google, ha declarat que va revisar “centenars de suposats casos de SEO negatiu” sense trobar-ne cap que fos la causa real de la caiguda de trànsit. Però els professionals que han documentat atacs reals — amb dades, cronologies i evidència forense — expliquen una història diferent. La veritat probablement se situa entre ambdues posicions: Google filtra la majoria de spam automàticament, però els atacs sofisticats i sostinguts sí que poden causar dany mesurable.
Anatomia d’un atac de SEO negatiu: quines formes adopta
El SEO negatiu no és un atac únic. És una categoria que agrupa tàctiques diferents amb un objectiu comú: manipular els senyals que Google usa per avaluar el teu lloc i provocar una caiguda en rànquings.
La tàctica més freqüent segueix sent la injecció massiva de backlinks tòxics. L’atacant genera milers d’enllaços des de link farms, PBNs (xarxes de blogs privats) i llocs hackeats, tots apuntant al teu domini amb text àncora irrellevant — casino, farmàcia, contingut adult. Segons Search Engine Land, aquests atacs busquen activar els filtres de spam de Google contra la víctima, no contra l’atacant.
El scraping de contingut s’ha tornat més perillós amb eines d’IA que generen versions lleugerament modificades del teu text. Si el scraper indexa primer, Google pot interpretar que la teva versió és la còpia. La defensa aquí és preventiva: aplicar etiquetes rel=canonical i monitoritzar l’aparició de contingut duplicat amb Copyscape o Siteliner.
Les ressenyes falses colpegen especialment negocis locals que depenen del Google Local Pack. Una onada de ressenyes negatives amb patrons repetitius — mala gramàtica, queixes vagues, perfils de revisor sospitosos — pot enfonsar la puntuació d’un negoci en setmanes. I el hackeig directe del lloc és la variant més agressiva: injecció d’enllaços ocults a llocs de joc, inserció d’etiquetes noindex a pàgines clau, o redireccions malicioses que desvien trànsit. Pensa en el SEO negatiu com un manyà que treballa al revés: no obre portes, sinó que canvia els panys de casa teva mentre dorms.
Cas real: Gaming.net i els 12 mesos de guerra digital
Gaming.net va perdre aproximadament el 90% del seu trànsit orgànic entre 2024 i 2025 a causa d’un atac documentat per Unite.AI que va combinar múltiples vectors de forma simultània.
El primer vector va ser la injecció de query strings maliciosos. L’atacant va generar centenars de milers d’URLs amb paràmetres basura — ?id=123, ?action=QUERY, ?error=404 — incloent caràcters en ciríl·lic i xinès. Cada URL es va convertir en una pàgina indexable de contingut spam, multiplicant les pàgines del lloc de forma artificial.
El segon vector va ser una allau de backlinks tòxics des de directoris estrangers, llocs adults i fòrums hackeats, amb text àncora farmacèutic i de contacte fals apuntant a pàgines internes irrellevants.
El tercer vector, i el més difícil de detectar, va ser l’explotació de feeds RSS. L’atacant va injectar keywords spam als metadades del feed afegint /feed/ a les URLs compromeses, creant una capa oculta de contingut spam que Googlebot rastrejava sense que els administradors ho veiessin al frontend.
La defensa va requerir accions en múltiples capes: regles .htaccess per bloquejar query strings danyins, desactivació de feeds RSS/Atom/JSON públics, bloqueig d’endpoints XML-RPC i REST API, restriccions a robots.txt, etiquetes X-Robots-Tag: noindex per a pàgines de baix valor, i enviament de milers d’URLs basura per a eliminació a Google Search Console. A mitjan 2025, la situació es va estabilitzar — però el trànsit seguia molt per sota dels nivells històrics.
La lliçó de Gaming.net és directa: un atac multivector sostingut durant setmanes pot causar dany que triga trimestres a revertir, fins i tot quan la resposta és ràpida i tècnicament competent.
Protocol de defensa en 3 capes: monitoritzar, contenir, desautoritzar
La defensa contra SEO negatiu funciona com la seguretat d’un edifici: no hi ha una sola mesura que ho protegeixi tot. Necessites múltiples capes que es reforcin entre si.
Capa 1 — Monitorització contínua
La detecció primerenca marca la diferència entre un incident menor i una crisi de mesos. Configura aquestes tres línies de vigilància:
A Google Search Console, revisa setmanalment la secció Links > Top linking sites. Busca dominis desconeguts amb extensions sospitoses (.tk, .xyz, .ru, .pw). Revisa Top linking text — si apareix text àncora de casino, farmàcia o contingut adult que no has generat tu, tens un problema. Activa les notificacions per correu electrònic per a accions manuals i problemes de seguretat.
A Ahrefs, configura alertes de nous backlinks per al teu domini. Ahrefs permet filtrar per Domain Rating baix (DR < 10) per detectar ràpidament enllaços de llocs spam. El “Live index” mostra només enllaços actius, cosa que redueix el soroll d’enllaços històrics ja desapareguts.
A SEMrush Backlink Audit, programa auditories mensuals. L’eina assigna una puntuació de toxicitat a cada enllaç i categoritza automàticament en whitelist, remove-list i review. Això accelera el triatge quan hi ha milers d’enllaços nous per avaluar.
El resultat? Amb aquestes tres fonts actives, detectes pics anòmals d’enllaços en les primeres 48-72 hores, abans que Google processi la majoria d’aquests enllaços.
Capa 2 — Contenció a nivell de servidor
Quan detectes un atac actiu, la prioritat és frenar el flux de nous vectors abans de netejar el dany existent.
Per a atacs d’injecció de query strings, aplica regles a .htaccess (Apache) o configuració d’nginx que bloquegin paràmetres no reconeguts. Si el teu lloc usa WordPress, desactiva els endpoints XML-RPC i REST API que no necessitis — són vectors freqüents d’injecció.
Per a scraping de contingut, reforça les etiquetes rel=canonical a totes les pàgines i configura alertes a Copyscape per a seguiment actiu de duplicats. Si detectes scraping en temps real, pots reportar el contingut duplicat a Google a través de DMCA.
Per a ressenyes falses, documenta cada ressenya sospitosa amb captures de pantalla i reporta a la plataforma corresponent. Google té un procés formal d’eliminació de ressenyes que violen les seves polítiques.
Capa 3 — Desautorització selectiva amb el disavow file
John Mueller, Search Advocate de Google, ha estat directe: “Recomano encaridament centrar-se en altres coses — els sistemes de Google són molt bons manejant enllaços spam aleatoris.” I té raó per al 90% dels casos. Però quan tens evidència d’un atac real, el disavow file és la teva última línia de defensa.
El procés té quatre passos. Primer, exporta tots els backlinks des de Google Search Console (Links > External Links > Export) i creua amb les dades d’Ahrefs o SEMrush per tenir una vista completa. Segon, filtra els enllaços tòxics usant la puntuació de toxicitat de les eines i busca patrons — dominis amb la mateixa extensió, text àncora idèntic, dates de creació concentrades. Tercer, crea l’arxiu de text amb format domain:exemplemalicios.com (per desautoritzar dominis complets) o URLs individuals, una per línia. Quart, puja l’arxiu a Google Search Console a través de l’eina de desautorització.
Un avís que no es repeteix prou: desautoritzar enllaços legítims per error és pitjor que deixar els tòxics. Cada domini que afegeixes al disavow file perd tota influència positiva sobre els teus rànquings. Mantén un registre detallat de cada enllaç desautoritzat i la raó específica, perquè necessitaràs revisar-lo periòdicament.
Eines concretes per a cada fase del protocol
La diferència entre un professional SEO que respon bé a un atac i un que es paralitza està en tenir l’stack d’eines llest abans que passi. Preparar l’entorn de seguiment quan ja estàs sota atac és com instal·lar una alarma amb el lladre dins de casa.
Per a detecció uses Google Search Console (gratuït, dades directes de Google), Ahrefs Backlink Audit (el més complet per a anàlisi de perfil d’enllaços) i SEMrush Toxic Score (bo per a triatge ràpid de volums alts). A la pràctica, la combinació de GSC amb una eina de pagament cobreix el 95% dels escenaris: GSC et dona la vista que té Google del teu perfil d’enllaços, mentre que Ahrefs o SEMrush detecten enllaços que GSC encara no ha reportat.
Per a seguiment continu, Google Alerts t’avisa de mencions de marca i contingut scrapeiat, i Link Research Tools ofereix alertes automatitzades que marquen enllaços potencialment maliciosos. Configura alertes diàries, no setmanals — en un atac actiu, cada dia compta.
Per a contenció tècnica, Screaming Frog permet rastrejar el teu propi lloc per detectar injeccions d’enllaços ocults o redireccions sospitoses. És l’equivalent a passar un escàner per cada habitació de casa teva després d’un robatori. Sucuri i Wordfence (per a WordPress) monitoritzen canvis en arxius del servidor i bloquegen atacs en temps real. Si el teu CMS és WordPress, Wordfence és pràcticament obligatori: el seu firewall bloqueja intents d’injecció abans que arribin a la base de dades.
Per a desautorització, l’eina disavow nativa de Google Search Console és l’únic canal oficial. Però rmoov automatitza el procés previ de contactar webmasters per sol·licitar l’eliminació manual d’enllaços — pas que Google recomana intentar abans de recórrer al disavow. El flux complet és: identificar els enllaços tòxics, intentar l’eliminació manual (contacte amb webmasters), esperar 2-4 setmanes de resposta, i només llavors incloure al disavow els que no es van eliminar.
Kinsta va documentar un cas on van netejar més de 100 backlinks tòxics, tots amb extensió .tk, usant Ahrefs per filtrar per domini, exportar la llista i generar l’arxiu de disavow en format TXT llest per a Google Search Console. El procés complet, des de la detecció fins a la pujada del disavow, els va portar menys d’una setmana. Un detall que molts obliden: després de pujar el disavow, Google pot trigar setmanes o mesos a processar-lo. La paciència no és opcional.
El que Google diu (i el que no diu) sobre el SEO negatiu
La posició oficial de Google oscil·la entre “els nostres algorismes ho gestionen” i “usa l’eina disavow si cal.” Aquesta ambigüitat no és accidental.
John Mueller ha criticat públicament les empreses que venen serveis de “neteja de SEO negatiu” i desautorització d’enllaços, qualificant-les d‘“inventar problemes.” El seu consell: “Fes que el teu lloc sigui genial en lloc de perseguir aquests enllaços.”
Gary Illyes va més lluny: “He revisat centenars de suposats casos de SEO negatiu, però cap ha estat realment la raó per la qual un lloc ha resultat perjudicat. Tot i que és més fàcil culpar el SEO negatiu, normalment la causa de la caiguda de trànsit és alguna cosa que no coneixes — potser una actualització d’algorisme o un problema amb la teva web.”
On queda el matís? En que Google parla del cas mitjà — el lloc que rep una mica de spam i els seus filtres ho netegen. Els atacs documentats com el de Gaming.net mostren que els vectors sofisticats (injecció de query strings, explotació de feeds RSS, hackeig directe) sí que escapen als filtres automàtics. No pots dependre només de que Google et protegeixi.
La posició pragmàtica és aquesta: confia en els filtres de Google per al spam genèric, però mantén el teu propi sistema de seguiment per al que Google no detecta. És la mateixa lògica que apliquem amb les còpies de seguretat: saps que l’allotjament les fa, però segueixes fent les teves.
Pla d’acció per a les properes 48 hores
Si vols protegir el teu lloc abans que un atac el posi a prova, aquí tens els passos immediats.
Obre Google Search Console i navega a Links > Top linking sites. Exporta la llista completa. Si trobes més de 10 dominis desconeguts amb extensions .tk, .xyz, .ru o .pw que no reconeixes, tens material per investigar.
Configura una alerta de nous backlinks a Ahrefs (o la versió gratuïta de Google Alerts per a “[el teu domini]”). Programa una auditoria de backlinks mensual a SEMrush Backlink Audit. Activa les notificacions de correu electrònic a Google Search Console per a accions manuals i problemes de seguretat.
Revisa que el teu lloc tingui etiquetes rel=canonical correctes a totes les pàgines. Si uses WordPress, verifica que els endpoints XML-RPC i REST API estiguin bloquejats o restringits si no els necessites.
I si ja estàs sota atac: documenta-ho tot abans d’actuar. Captures de pantalla dels backlinks tòxics amb dates, exportacions completes del perfil d’enllaços, i un registre de cada acció que facis. Aquesta documentació és el que separa una resposta efectiva d’una reacció que pot empitjorar les coses.
Comparteix aquest article
Si t'ha resultat útil aquest contingut, comparteix-lo amb els teus col·legues.
Preguntes Freqüents
¿Con qué frecuencia publican contenido nuevo?
Publicamos artículos nuevos semanalmente, enfocados en las últimas tendencias de SEO técnico, casos de estudio reales y mejores prácticas. Suscríbete a nuestro newsletter para no perderte ninguna actualización.
¿Los consejos son aplicables a cualquier tipo de sitio web?
Nuestros consejos se adaptan a diferentes tipos de sitios: ecommerce, blogs, sitios corporativos y aplicaciones web. Siempre indicamos cuándo una técnica es específica para cierto tipo de sitio o requerimientos técnicos.
¿Puedo implementar estas técnicas yo mismo?
Muchas técnicas básicas puedes implementarlas tú mismo siguiendo nuestras guías paso a paso. Para optimizaciones avanzadas o auditorías completas, recomendamos consultar con especialistas en SEO técnico como nuestro equipo.
¿Ofrecen servicios de consultoría personalizada?
Sí, ofrecemos servicios de consultoría SEO técnica personalizada, auditorías completas y optimización integral. Contáctanos para discutir las necesidades específicas de tu proyecto y cómo podemos ayudarte.
