Las páginas web fraudulentas, a examen: "Ya no basta solo con fijarse en lo visual, hay más filtros"

La suplantación de identidad no solamente afecta a nuestra persona. También incide en el hecho de que alguien construya una réplica fraudulenta de una página web para que nosotros dejemos nuestros datos personales. 

Con el auge de la inteligencia artificial generativa y técnicas cada vez más sofisticadas para crear engaños, ¿cómo podemos atisbar si un sitio web es fraudulento? ¿Cómo podemos acabar visitando un sitio de este tipo? 

Enrique De Miguel Ambite, quién es director de División de Investigación en Ciberseguridad-Inteligencia Artificial en FUNDITEC y profesor universitario, responde algunas de las cuestiones fundamentales para que podamos navegar más seguros. 

"Podemos entrar en una web fraudulenta de estas formas"

El primer paso para saber si estamos en una página clonada es vigilar el método de acceso. Enrique De Miguel explica que "la vía más habitual --para entrar-- son enlaces que nos llegan por SMS, mensajería o correo". 

No obstante, también aboga por fijarse en el "disfraz" de estos. "Suelen ser avisos urgentes de bancos, empresas de reparto o administraciones públicas; buscan que hagamos click sin pensar". 

También expone otros canales de entrada, como los anuncios maliciosos --a través de la compra de primeros puestos en buscadores de enlaces fraudulentos--. Además de la publicidad, el posicionamiento orgánico también desempeña un papel importante: "copian contenidos y metadatos para engañar a los algoritmos de relevancia". 

Los perfiles falsos de cuentas de redes sociales que se hacen pasar por cuentas oficiales son otro de los grandes bastiones que rompen la seguridad. En el caso de las redes sociales puntualiza que la vía de captación pasa por la "distribución de enlaces a cupones, sorteos o ayudas inexistentes". 

Estos son los tres elementos a los que hay que prestar atención

De la entrada al sitio web, a saber diferenciar los elementos más susceptibles de ser falseados. 

En esta segunda dimensión, De Miguel explica que "una web fraudulenta no distingue su diseño entre móvil u ordenador". Así pues, aboga por mirar "el primer filtro": la dirección. "En móvil los navegadores suelen ocultar parte de la URL y el candado de seguridad y eso juega a favor del estafador". 

En este sentido, "conviene que el nombre de la marca esté bien escrito; hay que fijarse que no haya letras cambiadas por números --como puede ser amaz0n.com, en vez de amazon.com-- o extensiones añadidas como pueden ser '-oferta'; son clásicos de las páginas clonadas". 

Lo segundo: "aunque la URL sea aparentemente legítima, el diseño copia logos y colores, pero introduce mensajes de urgencia falsos o ‘banners’ intrusivos que buscan que hagamos click sin que nos leamos la letra pequeña". 

Todo esto se complementa con lo que el experto llama "la zona gris". Un ejemplo que ilustra: "se muestra la opción deseada con un botón grande y llamativo y una opción neutral con un texto pequeño o un enlace poco visible". ¿Cómo se traduce esto? De acuerdo con De Miguel, "la arquitectura de decisión empuja sutilmente al usuario hacia la opción más rentable para el sitio, no para el consumidor".

¿El 'bonus track'? Es motivo de sospecha "si queremos cerrar el sitio web y empiezan a salir nuevas ventanas emergentes". "Forma parte de los 'dark patterns' que nos incitan a hacer click en lugares que no tocan para que seamos redirigidos a donde los estafadores quieren", concluye.