Incidentes Asociados
Cuando Joann Fabrics se declaró en bancarrota por segunda vez en un año este enero, los estafadores aprovecharon la oportunidad. En cuestión de días, apareció una avalancha de sitios web falsos con URL como "joannlosangeles.com", "jo-annclosingonsale.shop" y "joanndiscount.shop", todos diseñados para parecer casi idénticos al sitio web legítimo del minorista.
Los sitios web fraudulentos de Joann, que usaban el nombre, la marca y las imágenes de los productos de la empresa, simulaban ofrecer productos con grandes descuentos con el objetivo de robar la información de las tarjetas de crédito y los datos personales de los compradores. Los clientes que realizaban pedidos en estos sitios falsos nunca recibían los productos, pero su información de pago se veía comprometida.
"La apariencia general del sitio web era muy similar a la del sitio web real", afirma Melanie McGovern, directora de relaciones públicas y redes sociales del Better Business Bureau (BBB). Si usas tu teléfono móvil, no ves esa URL cuando haces clic en un anuncio o en un enlace de un correo electrónico que dice "Comprar aquí".
Según la Better Business Bureau (BBB), estos sitios web falsos de Joann ejemplifican las estafas web cada vez más sofisticadas que pueden engañar incluso a los consumidores más precavidos. Los estafadores crean sitios web falsos realistas que parecen idénticos a los originales, imitando desde minoristas conocidos como Amazon y PayPal hasta agencias de cobro de peajes, portales de empleo e instituciones financieras.
Estas estafas llevan años en aumento, pero algunos expertos en ciberseguridad temen que un nuevo desarrollo las impulse: herramientas de IA que permiten a delincuentes con conocimientos técnicos limitados crear réplicas casi perfectas de sitios legítimos en cuestión de minutos.
El proceso es simple: los atacantes compran una herramienta con IA en un mercado delictivo o en un foro de la dark web. Introducen la URL de un sitio legítimo y las herramientas con IA extraen instantáneamente la página real, clonan su apariencia y añaden formularios falsos diseñados para recopilar información personal o financiera. Los estafadores pueden modificar las páginas, traducirlas a varios idiomas e implementarlas, a menudo en minutos, sin escribir ni una sola línea de código.
"Lo preocupante es lo fácil que es", afirma Robert Duncan, vicepresidente de inteligencia y estrategia de la empresa de ciberseguridad Netcraft. "Permite que más personas sin conocimientos técnicos accedan a las herramientas, lo que reduce la barrera de entrada".
Ampliando la red
Joann Fabrics afirmó tener conocimiento de los sitios web falsos y los anuncios de Facebook, y advirtió a los consumidores que https://www.joann.com/ era el único sitio web legítimo para comprar productos de Joann. También instó a quienes realizaran una compra a través de un sitio web falso a disputar el cargo con su entidad financiera. Joann vendió su marca a su rival Michaels a principios de junio.
No está claro si los sitios web falsos de Joann se crearon con la ayuda de IA. Sin embargo, Netcraft ha identificado casi 100.000 dominios creados con herramientas de IA ilícitas, suplantando la identidad de 194 marcas diferentes en 68 países. La firma estima que estos sitios falsos representan actualmente entre el 6% y el 7% de toda la actividad de phishing en línea.
La herramienta permite a los estafadores atacar marcas que antes no eran un objetivo lo suficientemente grande como para el esfuerzo que requeriría crear un sitio falso. Si bien Duncan afirma que las grandes empresas cuentan con sistemas sofisticados para detectar y desmantelar sitios web impostores rápidamente, las pequeñas empresas a menudo carecen de estos recursos.
"Las grandes empresas, las grandes marcas reconocidas, esperan esto", afirma James E. Lee, presidente del Centro de Recursos contra el Robo de Identidad, una organización sin fines de lucro que ayuda a las víctimas de robo de identidad. "Pero son las pequeñas y medianas empresas, en realidad, cualquier empresa hoy en día", las que ahora son blanco de ciberfraude, añade.
Los mensajes de texto que simulan provenir de empresas legítimas (conocidos como smishing) son una forma popular de atraer a las víctimas a sitios web falsos, lo que permite a los atacantes eludir los filtros de spam y llegar a las personas de forma más personal e inmediata, según Tim Davis, analista principal de inteligencia de ciberamenazas del Centro para la Seguridad de Internet. Los mensajes pueden afirmar provenir de servicios de pago, empresas de mensajería o empleadores, e incluir enlaces a sitios con URL acortadas que ocultan su verdadero destino.
Cómo protegerse
Si bien detectar sitios web falsos es cada vez más difícil, los expertos en ciberseguridad recomiendan que los consumidores tomen algunas medidas:
-
En lugar de hacer clic en enlaces a sitios web en mensajes de texto y correos electrónicos, diríjase al sitio web oficial de la empresa escribiendo la dirección directamente.
-
Analice las direcciones web con atención. Los estafadores suelen añadir términos al final de los nombres de dominio legítimos, como "kmart-jobs.com" o "amazon-sale.net" en lugar de los nombres oficiales kmart.com o amazon.com. Además, esté atento a errores ortográficos sutiles o sustituciones en las URL, como "1" en lugar de "i" o el número 0 en lugar de la letra O.
-
Tenga mucho cuidado al navegar por sitios web en un teléfono móvil, ya que es más difícil detectar una URL sospechosa en una pantalla más pequeña.
-
No confíe en los errores ortográficos o gramaticales en correos electrónicos o páginas web de phishing para alertarlo de un sitio falso. Si bien esto solía ser útil, el contenido generado por IA ahora produce un texto impecable, lo que hace que este método de detección sea obsoleto.
-
Si algo le parece sospechoso, como un lenguaje urgente que exige una acción inmediata, solicitudes de información personal inusual u ofertas que parecen demasiado buenas para ser verdad, deténgase de inmediato. Denuncie el sitio a las autoridades como el Better Business Bureau (BBB) o el Centro de Quejas de Delitos en Internet (IC3) del FBI.
Jackie Snow es escritora en Los Ángeles. Puede contactarla en reports@wsj.com.