Check Point Research detecta que una de cada once páginas web nuevas vinculadas a Amazon es falsa o maliciosa ante el Prime Day

El incremento exponencial de las transacciones comerciales en plataformas de comercio electrónico durante las jornadas de descuentos masivos ha consolidado un escenario de alta vulnerabilidad informática en la red. Con siete años de trayectoria profesional evaluando la evolución del cibercrimen, la ingeniería social y gestionando la seguridad de portales en WordPress, he documentado cómo las temporadas de alta demanda de consumo son aprovechadas por redes criminales para desplegar infraestructuras de ataque automatizadas. Ante la proximidad del Amazon Prime Day, que se desarrollará del 23 al 26 de junio en más de 25 países, la división de Inteligencia de Amenazas de Check Point Research (CPR) ha revelado un repunte crítico en la creación de páginas web fraudulentas y campañas de suplantación de identidad enfocadas en capturar credenciales de acceso y datos bancarios.

Los atacantes explotan un ecosistema de factores psicológicos altamente efectivos: la confianza global en la marca, la urgencia generada por las ofertas con límite de tiempo y la disposición de compra masiva de los usuarios durante las 96 horas del evento. Este despliegue criminal no solo impacta a los compradores finales mediante correos electrónicos de phishing o mensajes de texto engañosos (smishing), sino que presiona la infraestructura tecnológica de los sectores financieros y logísticos que sostienen el comercio electrónico a nivel global.

Incremento de ciberataques en los sectores financiero y de consumo

El impacto del fraude electrónico durante este periodo comercial no se limita a los consumidores individuales. Las corporaciones dedicadas a los servicios financieros y a la distribución de bienes y servicios registran picos de hostigamiento informático severos. De acuerdo con las métricas recopiladas por CPR, durante mayo de 2026, las organizaciones financieras sufrieron un promedio de 1.939 ciberataques semanales por empresa, marcando un incremento interanual del 8%. Este repunte cuadruplica la media de crecimiento de ataques registrada en el conjunto de las demás industrias globales, la cual se situó en un 2%.

Por su parte, los comercios electrónicos y las tiendas digitales no han sido ajenos a esta tendencia, experimentando una media de 1.809 ataques informáticos semanales por organización, lo que representa un alza del 4% en comparación con el periodo previo. Estas cifras demuestran que las redes delictivas saturan los sistemas de validación de transacciones y los servidores de pasarelas de pago para aprovechar los momentos de mayor flujo de transferencias, buscando camuflar operaciones fraudulentas entre los millones de transacciones legítimas del evento.

Estrategias de envejecimiento de dominios y campañas dirigidas a hispanohablantes

La planificación de estas infraestructuras delictivas se ejecuta con meses de antelación para evadir las herramientas de detección automática. Manuel Rodríguez, Gerente de Ingeniería en América Latina de Check Point Software, detalla que entre diciembre de 2025 y mayo de 2026 se registraron 6.843 nuevos dominios fraudulentos relacionados con la marca Amazon a nivel mundial. El pico de actividad se localizó en abril de 2026, mes en el que se inscribieron 1.446 direcciones en apenas 30 días.

Esta antelación responde a una técnica de elusión informática conocida como envejecimiento de dominios. Los ciberdelincuentes compran los nombres de las páginas web y los mantienen inactivos durante varias semanas para que ganen antigüedad, logrando así burlar los filtros de reputación de los sistemas de seguridad que bloquean de forma automática los dominios creados de manera inmediata. La efectividad del descubrimiento de los analistas de CPR determinó que, durante el mes de mayo, el 9,2% de estas nuevas direcciones (aproximadamente 1 de cada 11) ya presentaban características maliciosas o sospechosas.

Los expertos han desmantelado dos operaciones de alta complejidad técnica orientadas al fraude corporativo y de consumo:

• Campaña multi-TLD ‘Amazon Prime’: Consistió en el registro simultáneo de seis dominios que variaban únicamente en su extensión de dominio superior (.help, .cam, .cc, .club, .app y .buzz), buscando interceptar el tráfico de los usuarios que cometen errores de escritura al teclear la dirección oficial en sus dispositivos.
• Operación ‘amazoncredito’ con enfoque regional: Una campaña dirigida de manera específica a los compradores de España y Latinoamérica. Se detectaron 46 dominios registrados bajo la promesa de otorgar créditos promocionales falsos. Los atacantes implementaron dominios de nombres de nivel superior internacionalizados (IDN), utilizando el código xn--amazoncrdito-ieb para que los navegadores web muestren visualmente la palabra con la tilde correspondiente (amazoncrédito), incrementando la apariencia de legitimidad ante los hablantes nativos de español.

Adicionalmente, se identificaron clones exactos de la interfaz de la tienda de Amazon en internet, empleando direcciones como amazonashop[.]shop, así como copias perfectas de páginas de artículos específicos que copiaban los distintivos de calidad oficiales y las valoraciones de cinco estrellas para engañar al usuario en el proceso de pago (checkout).

Protocolos de mitigación y seguridad para compras digitales

Para garantizar una navegación protegida durante las jornadas de descuento, es imperativo establecer medidas estrictas de higiene digital en los computadores y teléfonos móviles. En primera instancia, se debe inspeccionar de manera minuciosa la barra de direcciones del navegador para descartar la presencia de guiones aleatorios, caracteres sustituidos o extensiones atípicas como .top, .online o .shop. Bajo ninguna circunstancia se debe confiar ciegamente en el ícono del candado de seguridad en la barra de direcciones; el protocolo de cifrado HTTPS asegura que la comunicación entre el dispositivo y el servidor está protegida contra la interceptación de terceros, pero no certifica la identidad ni las intenciones legítimas del propietario del sitio web.

Ante cualquier notificación por correo electrónico o mensaje de texto que informe sobre la supuesta suspensión de una cuenta, problemas en la facturación o retrasos en la entrega de un paquete, la directriz técnica consiste en ignorar los enlaces directos provistos en el mensaje. El comprador debe acceder a la plataforma escribiendo manualmente la dirección oficial en el navegador o abriendo la aplicación móvil instalada de forma nativa en el terminal celular.

Asimismo, la seguridad de las cuentas de usuario debe robustecerse mediante la activación del doble factor de autenticación (2FA) y el uso de contraseñas de alta complejidad gestionadas por un software de credenciales dedicado. Las compras deben canalizarse a través de métodos de pago protegidos, como tarjetas de crédito tradicionales, tarjetas de crédito virtuales de un solo uso provistas por las entidades bancarias o pasarelas de pago seguras que dispongan de mecanismos claros de disputa y reversión de fondos en caso de presentarse una anomalía comercial. Detenerse a verificar las propiedades técnicas de una página web antes de introducir datos bancarios es la barrera defensiva más costo-efectiva frente a los delitos informáticos modernos.

Imagen de Freepik