La inteligencia artificial ha revolucionado el desarrollo y la programación web, permitiendo a cualquier usuario, incluso sin conocimientos, a crear sitios web de aspecto profesional.

Herramientas como Lovable, con su sistema de vibe coding, y plataformas de despliegue como Netlify y Vercel, se han consolidado como soluciones de referencia para acelerar la creación de aplicaciones.

Sin embargo, la misma tecnología que democratiza la innovación también está siendo explotada por actores maliciosos. Investigaciones de Trend Micro, empresa global en ciberseguridad, han identificado un repunte en el uso fraudulento de estas plataformas para alojar páginas de captchas falsos, que funcionan como un filtro inicial antes de redirigir a las víctimas a portales de phishing.

La estrategia de ingeniería social

Las campañas de phishing suelen comenzar con correos electrónicos no deseados que contienen mensajes urgentes que incitan al usuario a pinchar en un enlace que redirecciona a lo que parece ser una página de verificación captcha inofensiva.

Este paso inicial cumple dos funciones clave: reduce la sospecha de la víctima, que asocia la presencia de un captcha con seguridad, y dificulta la detección automatizada, puesto que los escáneres solo identifican el captcha, pero no la página real de robo de credenciales que se oculta detrás.

Una vez completado el captcha, la víctima es redirigida a la página de phishing real, donde se solicitan credenciales de acceso, datos financieros u otra información personal sensible.

Plataformas de hosting basadas en IA: un arma de doble filo

Trend Micro ha analizado el uso indebido de las tres plataformas y los datos muestran que Vercel es la que aloja más páginas de captchas falsos (52) y, aunque Lovable (43) es la más popular entre los programadores de vibe coding, Vercel y Netlify (3) son las que más tiempo llevan en el mercado, por lo que es más probable que los actores maliciosos estén más familiarizados con ellos.

El uso de estas herramientas de desarrollo web basadas en IA para alojar páginas de captcha falsas se intensificó entre febrero y abril. Aunque el volumen de spam disminuyó en los meses siguientes, en agosto se produjo un nuevo repunte de este tipo de campañas de phishing.

Aunque dichas plataformas están diseñadas para simplificar el desarrollo y reducir las barreras de entrada, los ciberdelincuentes recurren a ellas porque requieren conocimientos técnicos mínimos para crear sitios web falsos con captchas que convencen al usuario. En Lovable, por ejemplo, los cibercriminales pueden hacer uso de vibe coding para generar una web falsa con captcha o phishing. Además, la disponibilidad de categorías gratuitas en las diferentes plataformas reduce el coste de entrada para lanzar maniobras de phishing.

Los ciberatacantes también aprovechan los dominios de Lovable, Vercel y Netllify, que heredan la credibilidad de la reputación de las distintas herramientas.

El auge del phishing con captchas falsos pone de manifiesto cómo los atacantes están utilizando como arma las plataformas de creación de sitios web basadas en IA. Si bien estos servicios impulsan la innovación para los desarrolladores legítimos, también pueden proporcionar a los ciberdelincuentes las herramientas para lanzar ataques de phishing a gran escala, de forma rápida y con un coste mínimo.