Panda SecurityEl panorama de las tiendas online falsas ha evolucionado desde burdos clones de phishing hasta sofisticadas tiendas virtuales impulsadas por IA que se utilizan para el robo de credenciales, para el scraping de tarjetas (uso de bots para recopilar datos de un sitio web) y para la suplantación de marcas. Una amenaza que implica graves riesgos por la posibilidad de fuga de datos y por las pérdidas financieras que puede acarrear.
Investigaciones recientes estiman que en torno a 17 grupos de cibercriminales han creado más de 690.000 sitios web de comercio electrónico falsos entre 2022 y 2024, utilizando técnicas SEO black hat y redireccionamientos para engañar a los consumidores. Estas plataformas imitan tiendas online legítimas para recopilar credenciales y datos de pago.
Ataques a gran escala y pérdidas económicas en el comercio electrónico
Uno de los ejemplos más sonados fue una operación a gran escala impulsada por una red china dedicada al fraude, que creó más de 76.000 tiendas falsas de artículos de lujo dirigidas a consumidores de Europa y Estados Unidos. Unas 800.000 víctimas introdujeron sus datos personales y 476.000 compartieron la información completa de sus tarjetas de pago; algunas transacciones provocaron pérdidas económicas directas, mientras que otras alimentaron futuros actos de fraude de identidad.
Otro incidente dirigido contra comercios minoristas durante la temporada navideña de 2024 generó una media de 560 000 ataques diarios de bots impulsados por IA en sitios de e-commerce, incluyendo phishing, falsos pedidos y ataques de DDoS.
Esas redes de SEO black hat suelen utilizar sitios comprometidos y estrategias como redireccionadores para evadir filtros basados en la reputación. La detección requiere un análisis de anomalías en el DNS o en los patrones de redireccionamiento, técnicas que incluyen la supervisión de una rotación de dominios inusualmente alta, palabras clave de marcas mal escritas y múltiples redireccionamientos por solicitud.
Un tipo de skimming de formularios, conocido como Magecart, sigue siendo una amenaza común utilizada por estos hackers, con incidentes conocidos como las brechas de seguridad detectados en Ticketmaster y British Airways que ilustran cómo ese JavaScript inyectado en el sistema puede robar datos de tarjetas a gran escala.
La IA generativa permite a los criminales generar automáticamente diseños de tiendas online, descripciones de productos e incluso reseñas falsas. Un estudio en particular señaló que las herramientas de IA pueden crear perfiles de identidad realistas e historiales de pedidos que, aunque falsos, parecen tener años de antigüedad.
¿Cuáles son los riesgos?
La IA generativa plantea varios riesgos de seguridad. De entrada, estas características hacen que los falsos comercios evadan los patrones de detección simples y se ganen la confianza de los consumidores al parecer legítimas.
Los agentes de navegación basados en IA también crean el riesgo de una exposición involuntaria: pueden ejecutar automáticamente rutinas de exfiltración de credenciales o hacer clic en enlaces de seguimiento, exponiendo secretos corporativos.
Las marcas afectadas y las administraciones públicas están tomando medidas. En Europa y Norteamérica, en algunos casos las notificaciones de retirada en virtud de las leyes de derechos de autor y antifraude han eliminado entre el 30 % y el 50 % de los dominios activos. Sin embargo, los expertos apuntan que los protocolos y la coordinación con los motores de búsqueda para eliminar rápidamente los sitios falsos indexados sigue siendo inconsistente a nivel mundial.
Por eso los organismos encargados de la regulación están estudiando políticas de alineación de la IA que permitan regular la verificación de identidad y sirvan para la prevención de estafas, especialmente en los casos en que las tiendas generadas por IA imitan a marcas oficiales. Las medidas KYC (Know-Your-Customer o conoce a su cliente en español) están ganando atención en el comercio electrónico, aunque su aplicación aún está en las fases iniciales.
