El auge de los constructores de páginas web impulsados por inteligencia artificial prometía democratizar Internet. Crear un portal en minutos, sin conocimientos de programación y con un diseño atractivo, parecía la puerta de entrada para pymes, autónomos y creadores que buscaban presencia digital sin grandes costes. Sin embargo, esa misma facilidad está siendo explotada por los ciberdelincuentes.
La plataforma Lovable, un generador y servicio de hosting basado en IA, se ha convertido en terreno fértil para campañas de phishing, robo de credenciales, fraudes financieros y hasta distribución de malware. Según datos de Proofpoint, solo desde febrero se han detectado decenas de miles de URLs maliciosas generadas con esta herramienta.
Del marketing a la trampa: campañas detectadas
El informe de Proofpoint describe al menos cuatro operaciones a gran escala que abusaron de Lovable:
- Phishing corporativo contra Microsoft y Okta
Una campaña masiva utilizó el modelo phishing-as-a-service Tycoon. Los correos incluían enlaces creados en Lovable que primero mostraban un CAPTCHA —para esquivar bots y análisis automáticos— y luego redirigían a falsas páginas de inicio de sesión de Microsoft Azure AD u Okta.
El objetivo: robar credenciales, tokens MFA y cookies de sesión mediante técnicas de adversary-in-the-middle. Se enviaron cientos de miles de correos a unas 5.000 organizaciones. - Fraude financiero imitando a UPS
En otro caso, los atacantes distribuyeron cerca de 3.500 correos que simulaban ser notificaciones de la empresa de mensajería UPS. Las víctimas eran redirigidas a páginas falsas que solicitaban datos personales, números de tarjeta y códigos SMS. La información era reenviada a un canal de Telegram controlado por los delincuentes. - Robo de criptomonedas suplantando a Aave
Una tercera campaña se centró en usuarios de la plataforma DeFi Aave. Se enviaron unos 10.000 correos electrónicos, principalmente a través de SendGrid, con enlaces que dirigían a páginas Lovable diseñadas para engañar a los usuarios y que conectaran sus monederos digitales. El siguiente paso era vaciarlos. - Malware mediante facturas falsas
Por último, se detectó un ataque de distribución del Remote Access Trojan (RAT) zgRAT. Los correos enlazaban a “apps” creadas en Lovable que se hacían pasar por portales de facturación. Al descargar el archivo, el usuario recibía un ejecutable firmado junto a una DLL manipulada que instalaba DOILoader y, finalmente, el RAT.
Una plataforma en tensión: respuesta de Lovable
Ante la creciente ola de abusos, Lovable ha tomado medidas. En julio introdujo un sistema de detección en tiempo real de sitios maliciosos, además de escaneos automáticos diarios de los proyectos publicados.
En declaraciones a BleepingComputer, un portavoz aseguró que la compañía “no tolerará contenido ilegal o malicioso” y que han desplegado un programa de seguridad con IA para bloquear proyectos sospechosos incluso antes de su publicación.
En cifras recientes, Lovable afirma haber:
- Eliminado más de 300 sitios fraudulentos en apenas dos semanas.
- Bloqueado de forma automática unos 1.000 proyectos que violaban sus políticas.
Pese a ello, la prueba realizada por investigadores de Guardio Labs revela que aún es posible crear páginas fraudulentas en la plataforma sin obstáculos, lo que refleja la dificultad de equilibrar la innovación tecnológica con la seguridad.
El doble filo de la inteligencia artificial
Lo que ocurre con Lovable es un ejemplo claro del paradigma de doble uso de la IA: las mismas tecnologías que simplifican la creación de negocios y proyectos también rebajan la barrera de entrada al cibercrimen.
Hace apenas una década, montar un sitio de phishing convincente requería ciertos conocimientos técnicos. Hoy, cualquier actor malicioso puede generar un portal en minutos, con apariencia profesional y elementos que aumentan la credibilidad —como certificados SSL válidos o interfaces que imitan a la perfección a gigantes como Microsoft o UPS—.
“Estamos ante una era en la que el phishing ya no necesita diseñadores ni desarrolladores”, advierten expertos de Proofpoint. “El riesgo es que la industrialización del fraude avance tan rápido como la propia innovación tecnológica”.
Implicaciones para usuarios y empresas
Los incidentes asociados a Lovable subrayan varias lecciones:
- La confianza ciega en la apariencia visual ya no es válida. Incluso sitios con diseños cuidados y certificados HTTPS pueden ser fraudulentos.
- El correo sigue siendo el vector de ataque principal. Miles de organizaciones recibieron correos aparentemente legítimos con enlaces Lovable.
- El robo de credenciales y tokens MFA es una prioridad para los atacantes. Sin estas medidas, los sistemas corporativos quedan expuestos a intrusiones a gran escala.
- La economía del cibercrimen se sofistica: servicios como Tycoon muestran cómo el fraude ya se ofrece “como servicio”, reduciendo costes y complejidad para los delincuentes.
Conclusión
La historia de Lovable recuerda que, en ciberseguridad, cada avance tecnológico trae consigo nuevos retos. El objetivo de la empresa de “democratizar la creación web con IA” se enfrenta ahora a la realidad de ser también un trampolín para estafadores.
La pregunta es si las medidas implementadas bastarán para frenar el abuso o si estamos ante el inicio de una nueva etapa en la que los constructores web con IA se conviertan en terreno de juego habitual del cibercrimen.
Preguntas frecuentes (FAQ)
¿Qué es Lovable y por qué está en el centro de la polémica?
Es un creador de páginas web con IA. Ha sido utilizado por ciberdelincuentes para generar sitios de phishing, fraudes financieros y distribución de malware.
¿Qué campañas maliciosas se han detectado?
Se identificaron al menos cuatro: suplantación de Microsoft/Okta, fraudes imitando a UPS, robo de criptomonedas a usuarios de Aave y distribución del troyano zgRAT.
Qué medidas ha tomado la empresa?
Lovable asegura haber implantado sistemas de detección en tiempo real, escaneos automáticos y bloqueo de miles de proyectos que incumplían sus políticas.
Qué riesgos supone para los usuarios?
El principal peligro es que las páginas fraudulentas parecen legítimas y buscan robar datos personales, credenciales corporativas o incluso fondos en criptomonedas.
vía: bleepingcomputer y proofpoint
