La palabra «penalización» se usa mucho y se aplica mal casi siempre. Hay tres cosas muy diferentes que la gente mete en el mismo saco: acción manual (un humano de Google revisó tu web y aplicó una sanción), caída algorítmica (un Core Update o Helpful Content te ha puesto peor sin que nadie te mirara) y hackeo (alguien ha metido páginas raras en tu sitio y Google lo ha detectado). Cada una tiene diagnóstico, solución y plazo propios. Vamos a separarlas.

Solo en los últimos doce meses me han llegado siete clientes diciendo «me han penalizado» y al abrir Search Console, en cuatro no había absolutamente nada en el apartado de acciones manuales. Cero. Lo que tenían era una caída algorítmica, que se trata de forma completamente distinta. Y si intentas tratar una cosa como la otra, el problema empeora.

Aquí te separo las tres, te doy un mini diagnóstico para que sepas exactamente qué te ha pasado, te enseño qué hacer (y qué no hacer nunca), cuánto tarda la recuperación de verdad, y cómo evitar que vuelva a ocurrir.

Antes de nada, abre Search Console

Entra en Search Console → Seguridad y acciones manuales. Aquí aparece con nombre y apellidos si hay sanción humana o problema de seguridad. Si no hay nada, no tienes penalización real — tienes otra cosa. La inmensa mayoría de quienes dicen «Google me ha penalizado» no tienen nada en ese apartado. Tienen caída algorítmica, que se arregla muy distinto.

Diagnóstico rápido — ¿cuál de los tres es lo tuyo?

Marca lo que te suene. Si dudas en una casilla, no la marques. Al final te digo cuál de los tres escenarios encaja con tu caso.









Ahora que tienes una intuición, vamos al detalle de cada tipo — qué lo causa, cómo se arregla y qué plazo realista tiene.

Los 3 tipos reales de «penalización»

1. Acción manual — Google mandó un revisor humano

La más grave y también la más clara. Un humano de Google revisó tu web y decidió sancionarte por algo concreto: contenido duplicado masivo, enlaces comprados, spam estructurado, doorway pages, cloaking (mostrar cosa distinta al usuario y a Google). Las acciones manuales se ven explícitamente en Search Console, con texto indicando exactamente qué han detectado.

Síntomas: aviso claro en Search Console, caída del 50-95 % en tráfico de la noche a la mañana, desaparición total o parcial de tu marca en resultados. A veces desaparece solo una carpeta (/blog/, /categorias/), a veces todo el dominio.

Qué hago yo: leer el motivo exacto del aviso (cada uno se trata distinto). Limpieza exhaustiva del problema concreto — eliminar páginas spam, desautorizar enlaces tóxicos con el fichero Disavow, desmontar esquemas grises, reescribir o quitar contenido duplicado. Preparar solicitud de reconsideración detallando paso por paso lo hecho, con capturas y evidencias. Google revisa en 1-6 semanas. La recuperación tras aprobación: parcial al 70-90 % en 4-10 semanas adicionales.

Caso real — ecommerce deporte

Situación: verano 2023. Tráfico orgánico cayendo un 6-8 % cada semana. En Search Console: «enlaces antinaturales que apuntan a tu sitio». Habían contratado a una agencia de linkbuilding barata durante nueve meses. 217 enlaces desde directorios de Azerbaiyán y Rusia.

Qué hicimos: auditoría completa con Ahrefs + Majestic, clasificación de cada enlace por toxicidad, fichero Disavow con 198 dominios, reconsideración redactada explicando de quién era responsabilidad y qué se había hecho.

Resultado: Google aceptó a las 5 semanas. Tráfico al 85 % del original a las 12 semanas.

2. Caída algorítmica — un Core Update te ha cambiado de liga

La más confundida. No hay aviso en Search Console. La web sigue indexada. Simplemente Google ha decidido que tu contenido responde peor a la intención que antes, y te ha bajado 10-30 posiciones en 2-7 días. Coincide con las fechas de un Core Update, Helpful Content Update o Spam Update — puedes cruzar tu caída con los historiales públicos de actualizaciones de Google.

Síntomas: caída gradual durante la ventana de un update oficial, afecta muchas URLs a la vez, no hay aviso en Search Console, y si miras a tus competidores directos verás que varios han subido en las mismas búsquedas donde tú bajaste.

Qué hago yo: esto no es penalización ni se arregla con reconsideración (si pides reconsideración sin acción manual, Google te dice «no hay nada que revisar» y pierdes crédito cuando sí la necesites). Se trabaja mejorando el contenido caído — profundizando, añadiendo experiencia real, datos propios, matando lo que no aporta, y creando páginas nuevas con más valor. Recuperación: de semanas a meses. A veces hasta el siguiente update, porque Google reevalúa muchas cosas update a update.

Caso real — clínica dental

Situación: marzo 2024, Helpful Content Update. Una clínica dental con 180 artículos de blog redactados por una becaria perdió el 62 % del tráfico orgánico en 10 días. Search Console completamente limpio, ni aviso ni problema de seguridad.

Qué hicimos: auditoría URL por URL. 40 artículos se reescribieron con aportaciones reales del doctor (experiencia clínica, casos sin datos sensibles, parámetros que solo sabe quien hace tratamientos). 60 artículos se despublicaron con 301 hacia los 40 buenos. 10 nuevos con datos propios de la consulta.

Resultado: agosto 2024, recuperación al 90 % del tráfico previo. El tráfico recuperado convierte mejor porque las URLs mediocres ya no se llevan clics que nunca iban a pedir cita.

3. Problema de seguridad — te han hackeado

Alguien entró en tu WordPress, tu FTP o tu base de datos, e instaló páginas ajenas: pastillas, casinos, porno, estafas con criptomonedas. Google lo detecta y muestra aviso «este sitio puede ser peligroso» en los resultados o directamente sanción por spam alojado. El tráfico se va al 0 % — no al 30 %, al 0 % literal.

Síntomas: aviso rojo en Search Console → Problemas de seguridad. URLs extrañas apareciendo cuando haces site:tudominio.com en Google. Navegadores bloqueando tu web con pantalla roja. A veces te lo avisa un cliente antes que tú te enteres.

Qué hago yo: limpieza malware completa (plugins como Wordfence, Sucuri, o escaneo manual a fichero), cambio de contraseñas en cadena (hosting, FTP, WordPress admin, base de datos), eliminación de páginas infectadas, actualización de WordPress y plugins, endurecimiento de seguridad (2FA, whitelist IPs admin, cambio de prefijos de tabla), reporte de limpieza en Search Console. Recuperación: 1-4 semanas desde la limpieza.

Caso real — web corporativa

Situación: una empresa industrial con WordPress desactualizado desde hacía dos años. 1.400 URLs de Viagra y Cialis inyectadas en la base de datos. Nadie lo vio hasta que un cliente les escribió: «vuestra web me pide Viagra cuando la abro desde el móvil».

Qué hicimos: limpieza de malware a servidor y base de datos, migración a hosting nuevo (porque el anterior estaba comprometido entero), 1.400 URLs devueltas con 410 Gone, reporte de limpieza a Google.

Resultado: 85 % del tráfico recuperado en 30 días. Las URLs antiguas limpias recuperaron posiciones. Las inyectadas desaparecieron del índice.

«Google me ha penalizado» suele ser una caída algorítmica, no una sanción humana. Distinguir las dos cosas es la diferencia entre aplicar el tratamiento correcto o empeorar el problema pagando por limpieza que no necesitas.

Diagnóstico en 10 minutos — pasos concretos

  1. Search Console → Seguridad y acciones manuales. Si hay algo, léete el motivo completo. Ese es tu diagnóstico y empieza por ahí.
  2. Si no hay nada, compara la fecha exacta de la caída con el historial de updates de Google. Coincidencia = causa algorítmica. Puedes usar los timelines públicos de Search Engine Journal, Sistrix o Semrush Sensor.
  3. Si tampoco coincide, mira Search Console → Indexación → Páginas → aumentos de 404 o páginas no indexadas. Puede ser un tema técnico que estás confundiendo con penalización (noindex olvidado, robots.txt bloqueando, canonical mal, migración rota).
  4. Haz site:tudominio.com en Google. Si ves URLs extrañas que no son tuyas, estás hackeado.
  5. Abre Ahrefs o cualquier herramienta de backlinks y mira los enlaces nuevos de los últimos 6 meses. Si hay crecimiento anómalo desde dominios raros, puede ser un ataque de SEO negativo (sí, existe — alguien apuntándote spam para tirarte).

Con estos cinco pasos en 10-20 minutos sabes con un 90 % de certeza cuál de los tres es. El 10 % restante son casos raros que sí requieren ojo externo.

Lo que no hacer — y lo veo cada semana

  • No pidas reconsideración si no hay acción manual. Google te dirá «no hay nada que revisar». Gastas capital con ellos para cuando de verdad la necesites.
  • No borres toda la web «para empezar limpio». Peor solución. Pierdes todo el equity acumulado y recuperar autoridad de dominio te lleva años.
  • No compres enlaces «para recuperar autoridad rápido». Es exactamente lo que te puede llevar a una penalización manual. He visto a clientes empeorar Tipo 2 en Tipo 1 por hacer esto.
  • No hagas cambios masivos sin diagnóstico. Cambiar URLs, templates, internal linking y meta tags todo a la vez mete a Google en ciclo de reevaluación constante y alarga la recuperación tres veces.
  • No contrates al primer SEO que te diga «te saco en 2 semanas». Acción manual no se recupera en 2 semanas ni aunque te ponga Dios las manos encima. Caída algorítmica tampoco.
  • No cambies de dominio. Salvo que el dominio esté quemado de verdad (acción manual grave + histórico malo), cambiar de dominio es empezar de cero. Perderás más de lo que ganes.

Plazos honestos de recuperación

  • Acción manual bien gestionada: 6-14 semanas para recuperación del 70-90 % tras aprobación de reconsideración.
  • Caída algorítmica tras Core Update: 8-24 semanas, a veces esperando al siguiente update para ver el empuje definitivo.
  • Helpful Content Update: 3-6 meses mínimo — reevaluación de todo el site.
  • Hackeo bien limpiado rápido (menos de 7 días): 1-4 semanas.
  • Hackeo que se descubre tarde (más de 30 días): 2-3 meses, y a veces queda un 10-20 % de daño residual.

Cómo evitar que vuelva a pasar

Los tres tipos son prevenibles. Todos. Aquí el decálogo por cada uno.

Para evitar Acción Manual:

  • Nunca compres enlaces «baratos» en paquetes. Si son 50 enlaces por un precio que parece de oferta, son tóxicos seguro.
  • Revisa tu perfil de enlaces cada 3 meses con Ahrefs o con el informe de enlaces de GSC. Busca crecimiento raro desde dominios desconocidos.
  • Si contratas linkbuilding a un tercero, pide la lista de dominios antes de pagar. Si te dicen «es propietario», mala señal.
  • No generes contenido automáticamente a escala. Doorway pages, location landings por plantilla con cero valor, redirects engañosos — todo eso lo caza Google tarde o temprano.

Para evitar Caída Algorítmica:

  • Publica solo contenido donde tengas experiencia real, datos propios o perspectiva única. La IA genérica se está purgando sistemáticamente desde 2023.
  • Mata contenido que no aporta, cada 6-12 meses. Menos URLs buenas es siempre mejor que muchas URLs mediocres.
  • Revisa Search Console cada lunes, aunque sea 5 minutos. Las caídas se detectan en 48 horas, no cuando un cliente te avisa 3 semanas tarde.
  • Mantén consistencia editorial. No alternes bloques de 30 artículos de alta calidad con 50 autogenerados.

Para evitar Hackeo:

  • Actualiza WordPress, plugins y tema cada semana. No «cuando tenga tiempo». Las vulnerabilidades conocidas se explotan en días desde que se publican.
  • Desactiva y borra plugins que no uses. Cada plugin es una puerta potencial.
  • Contraseña de administrador con más de 20 caracteres. Y nada de «paulcris2024» o «empresa123».
  • Activa 2FA para el admin de WordPress (plugin Wordfence o similar).
  • Backup diario automático a servicio externo (no solo al hosting — si te entran, te comen el backup también).
  • Instala Wordfence o Sucuri en modo escaneo activo. 30 minutos de setup.

Diagnóstico específico en 72 horas — gratis

Si has identificado en el mini quiz o en el diagnóstico rápido qué tipo tienes pero necesitas saber exactamente qué hacer en tu caso, ayuda una auditoría externa. Esta es la mía:

  1. Me mandas pantallazos de Search Console últimos 6 meses y, si lo hay, del aviso de acciones manuales.
  2. Me das acceso solo lectura a tu Search Console (propiedad verificada).
  3. Me dices la fecha exacta en que notaste la caída.
  4. En 72 horas te respondo con diagnóstico firme, plan de intervención y plazo realista de recuperación.

Sin coste. Si el trabajo de recuperación encaja conmigo, te paso propuesta. Si no encaja o no hace falta, te lo digo — muchas veces el problema lo puede arreglar tu equipo interno con mi guía, y me ahorras la factura tú y tú te ahorras el gasto.

Pide el diagnóstico de penalización — respondo yo mismo en menos de 24 h.

Preguntas que me hacen siempre en esta situación

Depende del volumen y la toxicidad. Si son menos de 50 enlaces desde dominios regulares (directorios genéricos, foros antiguos), Google los ignora solos y no hace falta tocar nada. Si son más de 100 desde dominios abiertamente spam (granjas, casinos, sitios idénticos de Vietnam o Rusia), sí conviene hacer Disavow aunque no haya acción manual — previenes sanciones futuras. En medio, consulta antes de tocar: un Disavow mal hecho es peor que no hacerlo.

No. Google penaliza dominios, no IPs. Compartir servidor con sitios problemáticos no te penaliza directamente — excepto si tu servidor está en una IP conocida por alojar spam masivo, lo que es una señal menor. Si tu hosting aloja a 4.000 sitios, tu IP no es el problema.

Disavow sí: cuando tienes acción manual por enlaces antinaturales, o cuando has comprado enlaces y quieres prevenir. Disavow no: cuando los enlaces son de baja calidad pero no tóxicos (Google los ignora solo), o cuando sospechas una caída algorítmica (Disavow no ayuda ahí, porque el problema es el contenido, no los enlaces). Regla general: si dudas, no hagas Disavow. Un Disavow mal hecho cancela enlaces que sí te estaban ayudando.

Google responde con el motivo concreto del rechazo. Significa que la limpieza fue insuficiente. Hay que hacer una segunda limpieza mucho más profunda respondiendo al motivo dado, y volver a presentar la reconsideración con documentación mucho más detallada y capturas paso a paso. Las segundas rondas suelen aceptarse si la limpieza se hizo de verdad. No pidas una tercera sin haber limpiado a fondo — Google recuerda.

Acciones manuales bien limpiadas: 70-90 % de recuperación en 3-6 meses. Helpful Content: 50-80 %. Hackeo con limpieza rápida (menos de 30 días desde la infección): casi 100 %. Hackeos que se arrastran varios meses o acciones manuales graves (reiteradas) pueden dejar daño residual permanente del 10-30 %. El daño permanente casi siempre es por tardar en actuar.

Casi nunca es buena idea. Si cambias y haces 301 del dominio antiguo al nuevo, la penalización viaja contigo (Google no es tonto). Si no haces 301, pierdes TODO el equity acumulado — backlinks, autoridad, historial — y tardas años en recuperar lo que tenías. Solo tiene sentido cambiar de dominio si el dominio está quemado irrecuperablemente, y eso es muy raro. Limpia y recupera — no huyas.

Lo siguiente que puedes hacer, ordenado por pereza

De menos a más esfuerzo:

  1. 2 minutos: entra en Search Console → Seguridad y acciones manuales. Confirma si hay algo o no. El 70 % resuelves dudas aquí.
  2. 10 minutos: haz site:tudominio.com en Google y pasa por las primeras 5 páginas de resultados. Si ves URLs extrañas, estás hackeado.
  3. 20 minutos: compara la fecha exacta de tu caída con historiales como searchenginejournal.com/google-algorithm-updates. Si coincide con un update, tu caso es Tipo 2.
  4. Auditoría gratuita (72 horas de mi tiempo): si sigues sin saber qué te ha pasado, mándame pantallazos de Search Console y la fecha de la caída. Te digo en 72 horas cuál de los tres es, y qué haría yo. Sin venta detrás.

Si al leer esto has pensado «me ha pasado algo parecido», escríbeme. El diagnóstico te lo doy tengas o no presupuesto para contratar la recuperación después. Si encajamos, hablamos. Si no, te vas con un plan escrito y no pierdes ni dinero ni tiempo.

Paul Marginean
Paul Marginean Consultor SEO freelance · Valencia

Llevo diez años posicionando webs. Los últimos los he pasado preparándolas también para las IAs generativas. Trabajo con un máximo de 20 clientes a la vez, sin agencias en medio y sin permanencia.

Conocer mi historia completa →