Lovable, un creador de páginas web con IA que construye sitios de phishing
- Endpoint
Numerosas campañas aprovechan la asistencia de Lovable para distribuir kits de phishing de autenticación multifactor como Tycoon, ladrones de carteras de criptomonedas o cargadores de malware, y kits de phishing dirigidos a tarjetas de crédito e información personal.
Las herramientas de inteligencia artificial (IA) bajan la barrera de entrada a los ciberdelincuentes para que puedan cometer sus delitos digitales. Hasta ahora, los correos electrónicos generados por grandes modelos de lenguaje han tenido, no obstante, un impacto limitado. Según Proofpoint, los ciberdelincuentes optan cada vez más por servicios que facilitan en cuestión de minutos la clonación de sitios web que suplantan marcas destacadas, utilizan captcha para filtrar y publican credenciales en Telegram.
Es el caso de Lovable, un creador de sitios web generado por IA que construye y aloja sitios web de phishing de credenciales, malware y fraude. Proofpoint ha observado numerosas campañas que aprovechan la asistencia de Lovable para distribuir kits de phishing de autenticación multifactor, ladrones de carteras de criptomonedas o cargadores de malware, y kits de phishing.
Los usuarios pueden escribir en texto sus ideas para un sitio web y Lovable lo crea automáticamente. El servicio es gratuito con un límite de hasta cinco indicaciones al día, pero estas pueden ser muy largas y avanzadas, por lo que cada indicación puede utilizarse para crear un sitio web completo.
A principios de este año, los investigadores de Proofpoint pudieron crear con facilidad páginas web falsas totalmente funcionales que suplantaban a un destacado software empresarial para robar credenciales, sin encontrar ningún obstáculo ni errores en su intento. El servicio añadía además su propio lenguaje claramente engañoso para fomentar una mayor interacción por parte de los visitantes.
“Hemos detectado cientos de miles de URL de Lovable como amenazas al mes en correos electrónicos, con una frecuencia cada vez mayor desde febrero de 2025. El pasado junio observamos que las páginas de destino se usaban como redireccionadores a sitios maliciosos. Cuando vimos que el recolector de credenciales de tarjetas de crédito enviaba tanto los datos de las tarjetas como la información personal directamente a Telegram desde la propia aplicación, comenzamos a investigar qué medidas de seguridad se habían implementado”, explican desde el equipo de investigación de Proofpoint.
Tras conocer las investigaciones de Proofpoint, Lovable eliminó un grupo de phishing de credenciales con cientos de dominios. La empresa comunicó asimismo la reciente implementación de protecciones de seguridad basadas en IA para para intentar evitar que sus servicios se usen en la creación de sitios web fraudulentos. También tiene previsto lanzar este otoño medidas adicionales con cuentas de usuario para bloquear de forma proactiva a sujetos maliciosos.
“Antes se necesitaba tiempo y conocimientos sobre desarrollo web para crear páginas creíbles, pero con las herramientas de creación automáticas, los atacantes pueden dedicar más tiempo a la cadena de ataque e incorporar la ingeniería social generada por IA en sus amenazas”, afirman los investigadores de Proofpoint. “Los creadores de estas aplicaciones deben conocer las oportunidades de abuso e implementar medidas de seguridad para evitar su explotación”.
