X-twitter

Lovable: cuando la inteligencia artificial que construye webs se convierte en herramienta del cibercrimen

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Lo que empezó como una herramienta pensada para democratizar la creación de páginas web, se ha convertido en un nuevo frente de batalla para la ciberseguridad. Lovable, un generador de sitios impulsado por inteligencia artificial, permite a cualquier persona —sin conocimientos técnicos— montar una web atractiva y funcional en cuestión de minutos. Pero esa misma facilidad también está siendo aprovechada por ciberdelincuentes, que lo utilizan para montar campañas de phishing, fraude y distribución de malware con una profesionalidad que hace unos años habría parecido impensable.

Según un informe publicado por la firma de seguridad Proofpoint y validado por Guardio Labs, el abuso de Lovable se ha multiplicado en los últimos meses. Los atacantes no solo crean webs falsas, sino que las usan para hacerse pasar por empresas como Microsoft, UPS o plataformas de criptomonedas. El resultado: miles de usuarios engañados y una barrera de entrada al cibercrimen cada vez más baja.

La promesa de Lovable: webs en minutos, sin saber programar

El atractivo de Lovable es evidente: basta con describir qué tipo de web quieres —por ejemplo, una página corporativa para un restaurante o una tienda online— y la IA genera el diseño, los textos y hasta las imágenes necesarias. El servicio incluye alojamiento, certificados de seguridad y un acabado profesional difícil de distinguir de un portal hecho a medida.

Esto es fantástico para pequeños negocios, autónomos o incluso para usuarios que buscan lanzar proyectos personales con rapidez. El problema aparece cuando los delincuentes se dan cuenta de que, con las mismas facilidades, pueden crear sitios fraudulentos con apariencia oficial y lanzarlos a escala global en cuestión de minutos.

Cuatro campañas que muestran el alcance del problema

Proofpoint documentó recientemente cuatro campañas masivas en las que Lovable fue la herramienta principal para engañar a usuarios y empresas.

1. Phishing contra Microsoft y Okta

Miles de correos electrónicos llegaban a empleados de distintas compañías con un enlace. Al abrirlo, los usuarios se encontraban con una página Lovable protegida con un CAPTCHA que daba apariencia de legitimidad. Tras resolverlo, eran redirigidos a un portal falso de Microsoft Azure u Okta, donde se les pedía su usuario y contraseña corporativa.

En realidad, los delincuentes capturaban no solo las credenciales, sino también los códigos de verificación multifactor (MFA) y las cookies de sesión. Con esta información, podían acceder a los sistemas de las empresas como si fueran empleados legítimos. Según el informe, la campaña llegó a más de 5.000 organizaciones.

2. Estafa de paquetería con marca UPS

En otra operación, los atacantes se hicieron pasar por UPS. Enviaron unos 3.500 correos electrónicos en los que se pedía a los usuarios introducir sus datos personales y de tarjeta para “gestionar un envío pendiente”.

El portal, diseñado en Lovable, pedía incluso códigos SMS de verificación, que eran reenviados a un canal de Telegram controlado por los estafadores. Una vez con esos datos en la mano, podían robar dinero directamente de las cuentas bancarias de las víctimas.

3. Criptomonedas en la mira: ataque contra Aave

El tercer caso se centró en el universo DeFi. Más de 10.000 correos enviados a través de SendGrid dirigían a webs Lovable que imitaban a la plataforma de préstamos Aave.

El truco era sencillo pero devastador: convencer al usuario de que conectara su cartera digital (wallet). Una vez lo hacía, los atacantes tenían vía libre para vaciar sus fondos en segundos. Este tipo de fraude refleja cómo el crimen digital sigue al dinero: primero fueron las tarjetas de crédito, luego PayPal, y ahora, los criptoactivos.

4. Malware camuflado como facturas

En la cuarta campaña, el objetivo no era robar contraseñas ni dinero directamente, sino instalar un troyano de acceso remoto (RAT) en los equipos de las víctimas.

Los delincuentes enviaban enlaces a supuestos portales de facturación creados con Lovable. Allí, los usuarios podían descargar un archivo comprimido desde Dropbox. El paquete contenía un ejecutable legítimo junto a un archivo malicioso que instalaba el zgRAT, una herramienta que otorga control total del ordenador al atacante. Desde ese momento, podían espiar, robar archivos o instalar más malware.

¿Por qué Lovable resulta tan atractivo para los delincuentes?

El caso de Lovable no es aislado. Cualquier plataforma de creación de sitios web sencilla y rápida podría sufrir abusos similares. Sin embargo, la combinación de características de Lovable la convierte en un blanco perfecto:

  • Velocidad: crear un portal completo y funcional lleva minutos.
  • Aspecto profesional: las plantillas generadas son modernas y convincentes.
  • Infraestructura segura: los sitios incluyen certificados HTTPS y alojamiento en nubes de confianza, lo que los hace más difíciles de identificar como fraudulentos.
  • Coste bajo o nulo: los atacantes pueden generar múltiples cuentas con facilidad.
  • Dificultad de detección: un portal con HTTPS y diseño atractivo inspira más confianza que una web amateur de hace una década.

Las medidas de Lovable (y por qué no bastan)

Conscientes del problema, los responsables de Lovable han introducido en julio un sistema de detección en tiempo real de sitios maliciosos, además de un escaneo automático diario que borra proyectos fraudulentos. Según la empresa, en solo dos semanas eliminaron más de 300 webs ilegales y bloquean alrededor de 1.000 proyectos sospechosos cada día.

Aun así, los investigadores de Guardio Labs demostraron que todavía es posible crear sitios fraudulentos sin que el sistema los bloquee. En un experimento, diseñaron una página que imitaba a un gran minorista y la publicaron sin restricciones.

La compañía insiste en que no tolera contenidos ilegales y que seguirá reforzando sus políticas. Pero el problema es más profundo: cada nueva herramienta de IA que simplifica procesos legítimos también puede ser explotada con fines maliciosos.

Más allá de la técnica: impacto en usuarios y empresas

El caso de Lovable es un buen ejemplo de cómo la frontera entre lo útil y lo peligroso se vuelve difusa en la era de la inteligencia artificial.

  • Para los usuarios comunes, el riesgo está en confiar demasiado en páginas que parecen legítimas. Con la IA, el acabado visual deja de ser una señal para distinguir lo real de lo falso.
  • Para las empresas, aumenta la presión: empleados pueden caer en ataques que imitan a sus propios proveedores o herramientas corporativas.
  • Para la sociedad, el efecto es más amplio: baja la barrera de entrada al cibercrimen. Ya no hacen falta conocimientos avanzados para montar un fraude sofisticado.

En definitiva, la tecnología que facilita la innovación también facilita el engaño.

¿Qué podemos hacer los usuarios?

Aunque la responsabilidad principal recae en plataformas como Lovable, los usuarios no están indefensos. Algunas recomendaciones básicas siguen siendo cruciales:

  1. Desconfiar de los correos urgentes que piden datos personales o bancarios.
  2. Comprobar la URL antes de introducir credenciales o tarjetas. Aunque la página tenga candado verde, la dirección puede ser sospechosa.
  3. No descargar archivos adjuntos de fuentes dudosas, aunque parezcan facturas o documentos legítimos.
  4. Usar contraseñas únicas y autenticación multifactor siempre que sea posible.
  5. Mantener actualizado el software y el antivirus, para reducir riesgos en caso de descargas maliciosas.

El futuro: ¿qué nos espera?

La historia de Lovable es solo un primer aviso. A medida que surjan más herramientas de creación automática de contenido con IA, los ciberdelincuentes tendrán aún más armas a su disposición.

Los expertos prevén escenarios donde las campañas maliciosas se creen y gestionen de forma totalmente automática, desde los correos hasta las páginas web y los mensajes de chat. Incluso podrían integrar deepfakes de voz y vídeo para aumentar la credibilidad.

Si ya resulta difícil distinguir una web falsa, ¿qué pasará cuando también recibamos llamadas o videollamadas aparentemente legítimas, generadas por IA?

Conclusión

Lovable nació como una herramienta para facilitar la vida a quienes quieren estar presentes en internet sin complicaciones técnicas. Pero su abuso por parte de ciberdelincuentes pone de relieve un dilema que se repetirá con cada avance de la inteligencia artificial: toda tecnología útil puede convertirse en peligrosa si no se gestiona bien su seguridad.

La clave estará en equilibrar la innovación con la protección. Y mientras tanto, tanto empresas como usuarios tendrán que aprender a convivir con un internet donde lo falso y lo verdadero son cada vez más difíciles de distinguir.

Preguntas frecuentes (FAQ)

¿Qué es Lovable?
Es un creador de páginas web impulsado por inteligencia artificial que permite generar sitios completos en minutos, sin necesidad de programar.

¿Por qué es un problema de seguridad?
Porque ciberdelincuentes lo usan para crear webs falsas que imitan a empresas conocidas (Microsoft, UPS, Aave), engañando a usuarios para robar credenciales, dinero o instalar malware.

¿Qué medidas ha tomado Lovable?
Ha introducido detección en tiempo real de sitios maliciosos y escaneos diarios. Aun así, investigadores demostraron que todavía es posible publicar páginas fraudulentas.

¿Cómo protegerme como usuario?
Verificar siempre las direcciones web, desconfiar de correos sospechosos, usar autenticación multifactor y no introducir datos personales en sitios dudosos.

vía: Lovable bajo ataque

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Silvia A. Feliz

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Omarchy: la alternativa estética y productiva para usuarios avanzados de Linux

AWS refuerza su presencia en España con una nueva ubicación de Direct Connect en Barcelona

Cognichip refuerza su equipo científico con Peyman Mohajerin para acelerar la revolución del diseño de chips con inteligencia artificial

Lovable: cuando la inteligencia artificial que construye webs se convierte en herramienta del cibercrimen

×