Ayuda Ley Protección Datos

Qué es el Hotlinking y cómo evitarlo

Si tenéis una página web, puede que ya estéis familiarizados con el concepto de hotlinking, pero si no es así, en esta entrada os vamos a explicar en qué consiste esta práctica ilegal y cómo podéis evitarla.

¿Qué es Hotlinking?

Par aquellos que desconocéis este concepto, empezaremos por dar una definición de hotlinking, también llamado hotlink; se trata de una práctica empleada por propietarios de una página web para usar el contenido de otra página web, concretamente imágenes, vídeos o documentos alojados en la web de origen, sin pedir permiso, sin pagar licencias y empleando para ello el mínimo esfuerzo posible.

Es decir, consiste en vincular de forma directa imágenes, vídeos, archivos, etc. alojados en otra web, empleando sus URL, sin haber hecho una copia de los mismos y subidos a la web donde van a ser mostradas, lo que se hace a través de un enlace directo. Algo que se traduce ya no solo en el robo de contenido, sino también en el robo de ancho de banda, puesto que las peticiones se hacen al servidor donde se encuentra subido el contenido original.

El hotlinking de imágenes es quizás el más habitual, junto al de vídeos, puesto que, como hemos dicho, no requiere mucho más esfuerzo que usar la URL de la imagen que se quiere mostrar en la otra web, lo que ahorra crear imágenes propias o conseguir una licencia para usar los recursos de un banco de imágenes.

¿El Hotlinking es una práctica ilegal?

Ya que hemos usado la palabra «robo», os podéis imaginar que sí, el hotlinking es una práctica ilegal y los es por dos motivos:

¿Cómo afecta el Hotlinking a nuestro negocio?

El problema más grave derivado del hotlinking es que puede tener consecuencias económicas para nuestro negocio. Si tenemos una página web y una o varias personas deciden emplear esta técnica para robarnos contenido que mostrar en sus páginas, puede terminar costándonos dinero, ya que al hacerlo, utilizan los recursos de nuestra web, pudiendo llegar a exceder el ancho de banda que tengamos contratado, lo que puede acarrearnos sanciones económicas o suspensión temporal de la web por parte de nuestro servicio de hosting. Y en el peor de los casos podríamos llegar a perder la web y el dominio.

Debemos tener en cuenta que tendremos contratados unos recursos del servidor limitados y el hotlinking puede agotarlos, consumiendo nuestro ancho de banda, haciendo que nuestra web no cargue en algún momento. Y es que todas las peticiones para ver el recurso robado se hacen a nuestro servidor, que es donde está alojado, y no al de la web que está empleando esta técnica para hacerse con nuestro contenido.

Además, en el caso de imágenes bajo licencia, podemos incurrir en una infracción de uso, si se publican en otras webs que no sean la nuestra, aunque nosotros no seamos los culpables.

Para evitar estas consecuencias se puede recurrir a la llamada Notificación de DMCA, el dueño de la web recibirá una notificación de retirada del contenido robado (Takedown Notice en inglés), tal y como hacen desde hace un tiempo sitios como YouTube, Facebook o WordPress si detectan que un usuario está subiendo contenido protegido por derechos de autor.

Pero esta sería una posible solución para cuando el daño ya está hecho, por lo que es mejor intentar prevenir que nuestra web sea víctima de hotlinking.

¿Cómo prevenir Hotlinking?

Afortunadamente, en la actualidad existen diferentes medios que podemos usar para prevenir el hotlinking de los contenidos de nuestra web. A continuación vamos a explicar los más usados.

Con una CDN que incluya Protección de Hotlink

Una de las formas más sencillas para protegernos del hotlink es usando una CDN (red de distribución de contenidos) que incluya protección contra esta práctica.

Existen diferentes CDN, como Cloudflare o KeyCDN, y cada una de ellas tiene sus propias reglas de configuración para deshabilitar el hotlinking. Por ejemplo, si usáis Cloudflare, podéis hacerlo desde su tablero, activando la opción «Seguridad» en el menú Scrape Shield. Mientras que si usáis KeyCDN, podréis restringir las referencias http para la vinculación directa, configurando qué dominios específicos pueden acceder a nuestros recursos.

Permitiendo la Protección Hotlink en Apache

También podremos recurrir a la creación de reglas en el .htaccess de un servidor Apache (si es el que estamos utilizando). Estas reglas pueden evitar la petición de elementos desde servidores externos. Además, no solo podremos bloquear el hotlinking, sino que además podremos mostrar una imagen alternativa a la que quieren robarnos en la web de destino, por ejemplo, una que ponga «no se permite el hotlinking» o algo más ingenioso o hasta publicidad de nuestra web.

Para poder hacer esto, tenemos que acceder al servidor mediante FTP, descargar el archivo .htaccess, abrirlo y escribir las siguientes líneas al principio del mismo:

Y si queréis añadir ese mensaje que os comentábamos antes, escribir esto:

Cabe señalar que para que el posicionamiento web no se penalice demasiado, es recomendable no restringirlo completamente, de manera que buscadores, redes sociales o RSS puedan enlazar nuestro contenido.

El código con estas excepciones quedaría así:

Habilitar Protección de Hotlink en NGINX

Si en vez de Apache usáis NGINX, también podéis añadir unas líneas de código para protegeros del hotlinking. Para ello solo tenéis que abrir el archivo de configuración de NGINX y agregar este código para que servidores externos no puedan incrustar las imágenes alojadas en nuestro servidor:

Al usar este código, estaremos permitiendo las excepciones que sí pueden hacer petición a nuestro servidor, como por ejemplo los buscadores.

Plugins de WordPress que nos pueden ayudar

Una alternativa para evitar el hotlinking en WordPress es recurrir a plugins creados precisamente con ese fin. Los plugins suelen facilitar bastante esta labor, ya que lo único que necesitamos es instalarlo y activarlo, sin necesidad de introducir ningún tipo de código.

Aquí tenéis tres opciones que podéis considerar para mejorar la protección de hotlinking en WordPress:

Deshabilitando Clic Derecho en WordPress

En el punto anterior os hemos dejado un enlace a un plugin que bloqueará el uso del clic derecho del ratón en nuestra página web en WordPress. Este tipo de plugins lo que hacen es bloquear el clic derecho, es decir, que no si nos ponemos sobre una imagen en la web y hacemos clic derecho en el ratón, no se desplegará el menú que nos permite, entre otras cosas, copiar la imagen.

Como hemos dicho antes, no es una solución de seguridad completa, porque si quien quiere robarnos contenido de esta forma tiene algo de conocimientos, bastará con que acceda a ver el código fuente de la web para robar el contenido que quiere mostrar en su web.

Renombrando archivos

Esta opción es más para llevarla a cabo cuando descubramos que alguno de nuestros archivos se está mostrando en otra web empleando hotlinking.

Es muy sencillo, ya que solo tendremos que renombrar el archivo almacenado en nuestra web; esto cambiará su URL, lo que tendrá el efecto de mostrar un «error404» en la web donde se hubiera copiado la URL con el nombre anterior.

El problema es que tendríamos que ir archivo a archivo cambiando los nombres de todos aquellos que encontremos duplicados en otras webs.

En la configuración de nuestro cPanel

También podremos evitar el hotlinking utilizando la herramienta que cPanel tiene integrada para esta función. Esta solución cumple el mismo objetivo que las que vimos anteriormente, aunque puede ahorrarnos algo de tiempo.

Para activarla la función contra el hotlink, solo tenemos que ir a la página princiapal del panel y entrar en la opción «Protección de vínculo directo» o «Protección de Hotlink». Una vez dentro, podremos elegir para qué dominios se hará excepción de esta regla y a qué formatos se aplicará (JPG, JPEG, GIF, PNG…). Una vez lo tengas todo configurado, solo queda pulsar en «Activar» para guardar los cambios y ya tendrías tu contenido protegido contra el hotlinking.

Ejemplo de hotlinking

Cerramos esta entrada con un ejemplo de hotlinking para ilustrar mejor esta práctica que, recordamos, es ilegal (así que no solo debéis protegeros contra ella, sino no usarla).

Imaginemos que tenemos una web dedicada a un diario de viajes, donde diferentes autores suben sus textos y fotos de sus viajes. Algunas de esas fotos son muy buenas y el dueño de otra página web, buscando fotos de paisajes, da con una de ellas y decide que la quiere emplear en un artículo de su propia web.

En vez de pedir permiso para descargar la imagen, subirla a su web y publicarla, lo que hace es copiar la URL de esa imagen en su post. ¿Qué ocurre cada vez que alguien entra en ese post? Pues que ven la imagen, pero el servidor que está procesando la petición es el de nuestra web, que es donde está alojada la imagen, gastando, en consecuencia, los recursos de nuestro servidor.