Es una estrategia de ciberseguridad malintencionada donde el atacante compromete un sitio web específico que su objetivo previsto visita regularmente.

Al infectar ese sitio con malware, el atacante espera que la víctima se infecte inadvertidamente durante su visita habitual al sitio. Esencialmente, el atacante envenena el «agujero de agua» digital de su objetivo.

Este tipo de ataques requiere un gran conocimiento sobre los hábitos de navegación web del objetivo y se utiliza a menudo en ataques dirigidos y sofisticados.