La suplantación digital se ha convertido en una de las amenazas más persistentes del ecosistema online. El crecimiento del comercio electrónico, la banca digital y los servicios en la nube ha ampliado la superficie de ataque y ha facilitado que los ciberdelincuentes encuentren nuevas formas de engañar a usuarios y empresas mediante páginas web falsas que imitan a las originales con gran precisión.
El problema ya no afecta únicamente a grandes corporaciones o entidades financieras, tal y como señala cdmon. Cualquier organización con presencia en internet puede convertirse en objetivo, y cualquier usuario con acceso a un correo electrónico o un teléfono móvil es un posible destinatario del engaño. Los datos más recientes confirman que esta tendencia no solo continúa, sino que se acelera.
Un volumen de ataques en máximos históricos
Entre mayo de 2024 y abril de 2025 se han contabilizado cerca de 1,96 millones de ataques de suplantación de identidad a nivel global. La cifra supone un nuevo máximo y consolida una evolución ascendente si se compara con periodos anteriores, en los que los registros ya rondaban los 1,9 millones de incidentes anuales.
Este incremento no es marginal. Los especialistas advierten de que refleja un cambio estructural en las estrategias del cibercrimen, cada vez más orientadas a engañar al usuario en lugar de atacar directamente sistemas técnicos complejos. El atractivo de esta modalidad reside en su bajo nivel de inversión y en la alta probabilidad de éxito cuando se explotan la confianza y la rutina digital.
Más dominios fraudulentos, más riesgo
El aumento de ataques viene acompañado de otro dato relevante: el número de dominios creados con fines maliciosos ha crecido un 21% en el último año. Registrar una dirección web falsa es rápido, barato y sencillo, lo que permite a los delincuentes lanzar campañas masivas y efímeras que desaparecen antes de ser bloqueadas.
Este fenómeno multiplica el riesgo para los usuarios, ya que la detección temprana se vuelve más compleja. Muchas de estas webs solo están activas durante horas o días, tiempo suficiente para capturar credenciales, datos bancarios o información personal que luego se revende o se reutiliza en otros fraudes.
Cualquier canal puede ser la puerta de entrada
Uno de los aspectos más preocupantes es que no siempre se accede de forma directa a una web fraudulenta. Los redireccionamientos pueden producirse desde correos electrónicos, mensajes SMS, enlaces acortados, anuncios patrocinados o incluso llamadas telefónicas en las que el número de origen ha sido manipulado.
Este entorno fragmentado dificulta que el usuario identifique el engaño, especialmente cuando el mensaje reproduce con exactitud el tono, el logotipo y el contexto habitual de una empresa legítima. La sensación de urgencia, un supuesto problema con una cuenta o una promoción limitada suelen actuar como catalizadores del error.
El papel del posicionamiento en buscadores
Otro vector de riesgo lo representan las páginas falsas que logran posicionarse en buscadores mediante técnicas de optimización. Aunque el SEO sigue siendo el sistema dominante para ordenar resultados, los atacantes lo aprovechan para ganar visibilidad temporal y atraer tráfico legítimo hacia sitios maliciosos.
Este escenario se complica aún más en un momento de transición hacia nuevos modelos de búsqueda basados en inteligencia artificial, donde los criterios de relevancia todavía están evolucionando. Hasta que estos sistemas se consoliden, la presencia de páginas fraudulentas bien posicionadas seguirá siendo una amenaza real.
Claves para identificar una web fraudulenta
Desde el ámbito de la ciberseguridad se insiste en la importancia de analizar con atención los elementos visibles de una dirección web. Los atacantes suelen recurrir a variaciones mínimas del nombre original, sustituyendo caracteres por otros visualmente similares o introduciendo errores tipográficos difíciles de detectar a simple vista.
También es habitual el uso de subdominios o estructuras excesivamente largas que buscan confundir al usuario. La clave está en identificar cuál es el dominio principal, ya que es la parte final de la dirección la que determina su legitimidad. Si esta no coincide exactamente con la web oficial, el riesgo es elevado.
La influencia de la inteligencia artificial
La apariencia visual de las páginas falsas ha alcanzado un nivel de sofisticación sin precedentes. Las herramientas de IA generativa permiten replicar diseños, colores y estructuras con gran fidelidad, lo que reduce las señales evidentes de alerta que antes facilitaban la detección.
Sin embargo, hay aspectos más difíciles de copiar. Las secciones internas, los buscadores propios o ciertas funcionalidades avanzadas suelen presentar fallos o comportamientos inconsistentes. Observar cómo navega la web más allá de la página inicial puede revelar indicios claros de fraude.
El certificado SSL como elemento de verificación
Aunque disponer de un certificado SSL no garantiza que una web sea legítima, sí ofrece una pista valiosa. Revisar la información del certificado permite comprobar el dominio real al que se está accediendo, lo que ayuda a confirmar si coincide con la empresa que supuestamente representa.
La combinación de atención al detalle, acceso directo a direcciones conocidas y una actitud crítica ante mensajes inesperados sigue siendo una de las defensas más eficaces. En un entorno donde la suplantación crece a ritmo sostenido, la concienciación del usuario se convierte en una barrera tan importante como cualquier solución técnica.
