Trend Micro ha detectado un nuevo abuso de las herramientas de inteligencia artificial: la creación de páginas de CAPTCHA falsas que refuerzan la efectividad de ataques de phishing. Según la compañía, los atacantes se apoyan en plataformas de desarrollo con IA que permiten levantar y alojar estas páginas de forma rápida, barata y con apariencia legítima.
El engaño funciona de manera sencilla: tras recibir un correo electrónico fraudulento con mensajes urgentes —como supuestas notificaciones de cambio de dirección o avisos de restablecimiento de contraseña—, la víctima es conducida a una pantalla de verificación CAPTCHA. Esta fase inicial genera confianza, al simular un control de seguridad rutinario, y dificulta la detección por parte de sistemas automáticos de filtrado. Una vez superada, el usuario es redirigido a sitios maliciosos controlados por los atacantes.
Plataformas de IA al servicio del fraude
El informe señala que desde enero de 2025 se ha registrado un uso creciente de estas técnicas, con un fuerte repunte entre febrero y abril. Entre las plataformas más empleadas están Lovable, que facilita el diseño de aplicaciones sin necesidad de conocimientos técnicos; y los entornos de desarrollo Netlify y Vercel, que integran asistentes de codificación con IA en sus procesos de despliegue.
De acuerdo con los datos recopilados, Vercel estuvo presente en 52 correos de phishing, Lovable en 43 y Netlify en tres. Su popularidad entre los atacantes se explica por la facilidad de uso, la posibilidad de desplegar páginas con apenas unas indicaciones y la existencia de planes gratuitos que reducen los costes de la operación.
Los investigadores de Trend Micro advierten que este fenómeno refleja cómo las herramientas concebidas para acelerar la innovación pueden convertirse en recursos peligrosos en manos de ciberdelincuentes. Al ofrecer capacidades avanzadas con barreras de entrada mínimas, las plataformas de IA permiten ejecutar campañas de phishing más convincentes y a gran escala.
La evolución del phishing con IA
El uso de inteligencia artificial en ciberataques no es nuevo, pero en los últimos dos años se ha intensificado. Los atacantes han pasado de simples correos masivos a campañas que utilizan IA generativa para redactar mensajes sin errores, deepfakes para suplantar identidades y ahora, páginas interactivas que imitan procesos de seguridad habituales.
Este tipo de tácticas se enmarcan en una tendencia más amplia: el “phishing encubierto”, en el que se introducen pasos adicionales para dar más verosimilitud al fraude y evadir controles de seguridad. Los falsos CAPTCHA son solo un ejemplo de cómo la IA puede sofisticar técnicas clásicas y poner en aprietos incluso a usuarios experimentados.
“Mientras que estas soluciones impulsan la productividad de los desarrolladores, también facilitan a los criminales la creación de páginas maliciosas con un nivel de sofisticación hasta ahora inusual en este tipo de ataques”, concluye el informe publicado por Trend Micro el 19 de septiembre.
