Un clic. Una verificación. Cero contraseñas. Pulsar «No soy un robot» podría costarte todo.
Ni siquiera se dará cuenta cuando le roben la contraseña.
La inteligencia artificial ha hecho el desarrollo web accesible a un público amplio: hoy incluso una persona sin habilidades de programación puede montar un sitio o una aplicación usando servicios de IA. Estas plataformas permiten lanzar proyectos rápidamente; sin embargo, esa misma sencillez y velocidad se han convertido en una herramienta útil también para cibercriminales. Trend Micro registró un aumento notable de ataques en los que esos servicios se usan para alojar páginas falsas de verificación CAPTCHA — que se convierten en el eslabón inicial de campañas de phishing.
Los atacantes envían a las víctimas correos con disparadores típicos como notificaciones de restablecimiento de contraseña o «cambio de dirección de envío». Al hacer clic, el enlace conduce a una página que imita la verificación «no soy un robot». Esta técnica funciona en dos sentidos: primero, los usuarios sospechan menos porque realizan una acción habitual; segundo, los escáneres automáticos solo detectan el CAPTCHA y no alcanzan el formulario oculto de recolección de credenciales. Si la respuesta se introduce correctamente, el sistema redirige al visitante a un recurso de phishing, donde se roban contraseñas y otra información confidencial. También se han visto formularios de acceso falsos con estilo de Microsoft 365.
La investigación mostró que las capacidades de las plataformas de IA son ideales para los atacantes. En los servicios de IA se puede, mediante técnicas de vibe-coding, construir rápidamente una página falsa, y algunas empresas permiten integrar la generación de plantillas en la cadena CI/CD. El alojamiento gratuito reduce los costes, y los dominios con terminación *.vercel.app y *.netlify.app generan una falsa sensación de confianza debido a la reputación de las plataformas. Según Trend Micro, la actividad creció desde enero, especialmente de febrero a abril, y en agosto hubo un nuevo repunte. En total se detectaron 52 recursos maliciosos en Vercel, 43 en Lovable y 3 en Netlify. Anteriormente Proofpoint informó sobre abusos, pero entonces el foco estaba principalmente en Lovable, mientras que los nuevos datos muestran el papel líder de Vercel.
Las CAPTCHA falsas resultan convenientes para los atacantes también porque generan en la víctima la sensación de una verificación estándar y ayudan a sortear los mecanismos de defensa. Esta combinación hace que el esquema sea especialmente eficaz. Para reducir riesgos, los especialistas recomiendan formar a los empleados para que verifiquen las URL antes de interactuar con las páginas, usar gestores de contraseñas que no completen automáticamente los datos en sitios sospechosos, y también implantar soluciones capaces de analizar cadenas de redireccionamiento y bloquear solicitudes a dominios abusados.
También es importante monitorizar el tráfico hacia subdominios de servicios confiables con notificaciones automáticas y avisos a los proveedores sobre abusos detectados. Además, conviene aplicar filtros para el correo entrante que detecten archivos adjuntos y enlaces sospechosos antes de que el mensaje llegue al buzón del usuario.
La creciente ola de páginas CAPTCHA falsas muestra cómo las capacidades de las plataformas generativas se convierten con facilidad en herramienta de ciberdelincuencia. Una verificación aparentemente inocua puede ocultar un mecanismo de phishing eficaz que utiliza la potencia de las mismas tecnologías que ayudan a los desarrolladores honestos a acelerar su trabajo.
Las huellas digitales son tu debilidad, y los hackers lo saben