Google acaba de anunciar que el back button hijacking pasa a ser, oficialmente, una violación de sus políticas de spam. Lo que durante años fue una práctica incómoda tolerada, queda ahora catalogado bajo la categoría de "prácticas maliciosas", al mismo nivel que la distribución de malware o la instalación de software no deseado. La fecha límite para limpiar el código: el 15 de junio de 2026.
Qué es el back button hijacking y por qué Google actúa ahora
Cualquiera que haya intentado salir de una web de recetas, un medio de entretenimiento de tercera o un comparador de seguros sabe exactamente de lo que hablamos. Pulsas atrás y, en lugar de volver a Google, aterrizas en una página que no habías visitado. O te aparece un feed de recomendaciones. O tienes que pulsar atrás tres veces antes de poder escapar.
Técnicamente, el truco se ejecuta manipulando la History API del navegador: el sitio inserta entradas falsas en el historial de navegación, de modo que el botón de atrás no lleva al usuario a donde espera ir, sino a donde el sitio ha decidido que vaya. La herramienta en sí es legítima, y tiene usos perfectamente válidos en aplicaciones web modernas. El problema es el uso deceptivo: insertar estados falsos para retener al usuario contra su voluntad.
Google ha dejado claro que este comportamiento, aunque ya estaba implícitamente en contra de sus directrices, pasa ahora a ser una violación explícita. Los sitios que lo practiquen podrán recibir acciones manuales de spam o degradaciones automáticas en su posicionamiento.
La pregunta razonable es por qué Google actúa ahora y no hace tres años. La respuesta más probable: la proliferación de scripts de monetización agresiva y widgets de recomendación que se distribuyen empaquetados en plataformas publicitarias. Ya no es solo un desarrollador pillo que escribe cuatro líneas de JavaScript; es una industria entera de herramientas de "engagement" que incorporan esta mecánica por defecto.
El problema de los scripts de terceros
Uno de los detalles más importantes del anuncio es que Google avisa explícitamente de que el back button hijacking puede originarse en librerías o plataformas publicitarias incluidas por el sitio, no solo en código propio. La responsabilidad recae sobre el propietario del sitio independientemente de quién haya escrito el código.
Esto tiene una implicación práctica importante: muchos webmasters no saben que su sitio hace esto. Instalaron un widget de recomendaciones, un tag de monetización o una plataforma de engagement hace dos años, y ese código lleva meses manipulando el historial de sus usuarios. Los equipos de marketing, producto, ingeniería y operaciones de publicidad rara vez coordinan cómo interactúan todos estos scripts en el navegador. El resultado es una web que nadie ha diseñado del todo, pero de la que todos son responsables.
Google es consciente de esto y lo dice sin rodeos en su anuncio: revisar las implementaciones de terceros, los imports y las configuraciones que puedan estar causando el problema. "No sabía que mi proveedor de anuncios lo hacía" no va a ser una excusa válida a partir del 15 de junio.
Qué implica esto en la práctica para los sitios afectados
El anuncio incluye esta práctica bajo la categoría de "prácticas maliciosas" en las políticas de spam de Google, que ya cubría comportamientos como la distribución de malware. Google amplió la categoría existente en lugar de crear una nueva sección.
Para los sitios que practican esto de forma habitual, la amenaza es doble. Por un lado, acciones manuales de spam que pueden retirar páginas enteras del índice. Por otro, degradaciones automáticas que no requieren revisión humana y que pueden tardar mucho más en revertirse una vez eliminado el código infractor. Google da dos meses de margen, exactamente el mismo plazo que ha utilizado en otros cambios importantes de política.
La auditoría que toca hacer no es trivial. Hay que revisar cada script de terceros que toque el DOM o el historial del navegador, probar el comportamiento real del botón de atrás en distintos escenarios de usuario (primera visita, visita desde búsqueda, visita desde redes sociales) y verificar que ninguna plataforma de anuncios o recomendación activa esta mecánica en segundo plano.
Un cambio pequeño con implicaciones grandes
Lo interesante de este movimiento no es el anuncio en sí, sino lo que señala. Google lleva tiempo dando señales de que va a poner más énfasis en la navegación y la experiencia real del usuario, más allá de las métricas de contenido. Los Core Web Vitals fueron un paso en esa dirección. Penalizar la manipulación del historial de navegación es otro.
El back button hijacking es una de esas prácticas que todo el mundo sabe que es mala, que los usuarios detestan, y que sin embargo se ha perpetuado porque generaba métricas de engagement que nadie quería reconocer como falsas. Desde el equipo de calidad de búsqueda de Google, Chris Nelson lo resume así: los usuarios que lo experimentan se sienten manipulados y muestran menos disposición a visitar sitios desconocidos. Es un daño colateral que afecta a todo el ecosistema, no solo al sitio que abusa de la práctica.
Si gestionas una web con monetización publicitaria o widgets de terceros, el 15 de junio no es una fecha lejana. Tienes seis semanas para saber exactamente qué hace tu código cuando un usuario pulsa el botón de atrás. Esta es la misma lógica que explica cómo funciona el botón anti-spam que Google activó en noviembre: la empresa lleva meses construyendo una política de tolerancia cero con las prácticas que erosionan la confianza del usuario en los resultados de búsqueda. Y esta vez tienen fecha en el calendario.
0 Comentarios