La proliferación de páginas web fraudulentas no es nueva en el ecosistema digital, pero en los últimos meses ha empezado a adquirir una cadencia distinta. No tanto por el volumen, sino por la calidad. Una campaña reciente identificada por Kaspersky ilustra este cambio con claridad: sitios web generados mediante Inteligencia Artificial que simulan aplicaciones legítimas y que, en lugar de distribuir malware tradicional, instalan software auténtico de acceso remoto para tomar el control completo de los dispositivos.
El objetivo final no difiere demasiado de campañas anteriores, el robo de datos y, de forma creciente, de criptomonedas. Lo relevante está en el camino. La combinación de generación automatizada de webs creíbles, ingeniería social a escala y abuso de herramientas legítimas está configurando un patrón que empieza a consolidarse en distintas regiones, incluida Europa.
Webs plausibles como punto de entrada
Según el análisis de Kaspersky, la campaña se encuentra activa en Europa, Latinoamérica, Asia-Pacífico y África. Los atacantes utilizan páginas creadas con generadores web basados en IA para imitar servicios populares, desde monederos de criptomonedas hasta antivirus o gestores de contraseñas. No se trata de copias exactas. Son versiones plausibles, visualmente coherentes, con textos correctos y dominios que encajan con búsquedas habituales.
El tráfico llega por dos vías conocidas, pero ahora amplificadas: resultados en buscadores y correos de phishing. Una vez en la web, el usuario se encuentra con mensajes de urgencia o advertencias de seguridad, una técnica clásica de scareware, que empuja a descargar el supuesto software recomendado.
El elemento diferencial aparece en el momento de la instalación. En lugar de un troyano convencional, lo que se descarga es una versión preconfigurada de Syncro, una herramienta legítima de acceso remoto utilizada habitualmente por equipos de soporte técnico y proveedores de servicios gestionados.
El abuso de software legítimo como vector
Syncro no es malware. Está firmado, es funcional y cumple una finalidad clara en entornos profesionales. Precisamente por eso resulta eficaz como vector de ataque. Una vez ejecutado, concede a quien lo controla acceso total al sistema: visualización de pantalla, gestión de archivos y ejecución de comandos remotos.
Desde el punto de vista defensivo, esto introduce una fricción evidente. Los antivirus tradicionales están diseñados para detectar código malicioso, no herramientas legítimas utilizadas con fines ilícitos. El resultado es una intrusión silenciosa que puede pasar desapercibida durante semanas, especialmente en equipos personales o en pequeñas empresas sin monitorización avanzada.
Kaspersky subraya que este tipo de campañas aprovechan una confianza implícita en el software firmado y en marcas reconocibles. Vladimir Gursky, analista de malware de la compañía, resume el problema con una idea recurrente en los últimos informes del sector: “Las herramientas legítimas pueden convertirse en armas cuando se combinan con engaños impulsados por IA y procesos altamente automatizados”.
La IA como factor de escala, no de sofisticación puntual
El uso de Inteligencia Artificial en esta campaña no introduce técnicas radicalmente nuevas, pero sí altera la economía del fraude. Los atacantes emplean un generador web basado en IA conocido como Lovable para crear decenas o cientos de páginas con apariencia profesional en poco tiempo.
Esta automatización reduce costes, acelera la rotación de dominios y permite adaptar el contenido a distintas marcas o regiones con un esfuerzo mínimo. Un ejemplo citado en el análisis es la suplantación de Polymarket, una plataforma de predicción de mercados cuyo nombre resulta creíble como término de búsqueda para usuarios interesados en activos digitales.
El resultado no es una web perfecta, sino “suficientemente buena”. Y en un contexto de descargas rápidas, avisos urgentes y confianza en buscadores, suele ser suficiente.
Un patrón que ya había aparecido en España
Aunque la campaña actual tiene alcance internacional, el esquema no resulta ajeno en el contexto español. En agosto de 2025, el Instituto Nacional de Ciberseguridad alertó sobre una operación similar basada en instaladores falsos distribuidos desde webs fraudulentas.
En aquel caso, el objetivo era propagar un troyano de acceso remoto conocido como Silver Fox. Las páginas imitaban servicios legítimos para generar confianza y lograr la instalación del software malicioso. La lógica operativa, engaño visual, ingeniería social y control remoto del dispositivo, es prácticamente idéntica.
La diferencia ahora está en la industrialización del proceso. Donde antes había campañas relativamente artesanales, hoy se observan flujos automatizados capaces de escalar con rapidez y adaptarse a nuevas marcas o coyunturas de mercado.
Por qué importa a empresas y responsables tecnológicos
El impacto de este tipo de campañas no se limita al usuario final. En entornos corporativos, especialmente en empresas que gestionan activos digitales, criptomonedas o información sensible, el riesgo es doble.
Por un lado, la instalación de herramientas de acceso remoto no autorizadas puede abrir la puerta a movimientos laterales dentro de la red. Por otro, la dificultad para distinguir entre uso legítimo y abuso complica la respuesta. No basta con bloquear un hash o una firma, porque el software es genuino.
Este escenario tensiona los modelos de seguridad tradicionales, basados en listas negras y detección de malware conocido. Obliga a poner el foco en el comportamiento, en la gestión de privilegios y en la visibilidad sobre qué herramientas están activas en cada equipo y por qué.
Un cambio gradual en la naturaleza de la amenaza
La campaña detectada por Kaspersky no introduce un salto tecnológico abrupto, pero sí consolida una tendencia. La IA no actúa aquí como un arma autónoma, sino como un acelerador que reduce barreras de entrada y multiplica la capacidad operativa de los atacantes.
El fraude digital se vuelve más industrial, menos dependiente de habilidades técnicas avanzadas y más orientado a explotar la confianza cotidiana del usuario en marcas, buscadores y software legítimo. En ese desplazamiento, las fronteras entre lo malicioso y lo aparentemente inocuo se difuminan.
Para empresas y responsables de tecnología, la incógnita ya no es si este tipo de campañas se extenderán, sino cómo evolucionarán cuando la generación de contenidos, dominios y señuelos sea aún más barata y rápida. La respuesta, previsiblemente, no vendrá de una única herramienta defensiva, sino de una revisión más profunda de los supuestos sobre los que se ha construido la seguridad digital en la última década.
