Una nueva campaña maliciosa identificada por Kaspersky utiliza páginas creadas con Inteligencia Artificial para engañar a los usuarios e instalar herramientas de acceso remoto en sus equipos, con el objetivo final de robar criptomonedas.

Kaspersky ha detectado una campaña fraudulenta activa en regiones como Europa, Latinoamérica, Asia-Pacífico y África, en la que los ciberdelincuentes utilizan webs generadas mediante Inteligencia Artificial para distribuir Syncro, una herramienta legítima de acceso remoto. Estas páginas imitan aplicaciones populares como monederos de criptomonedas, antivirus o gestores de contraseñas, y atraen tráfico mediante buscadores o correos de phishing.

Este tipo de táctica no es nueva. En España, el Instituto Nacional de Ciberseguridad (INCIBE) ya alertó en agosto de 2025 sobre una campaña similar en la que los ciberdelincuentes utilizaban instaladores falsos distribuidos a través de sitios web fraudulentos para propagar un troyano de acceso remoto (RAT) conocido como Silver Fox. Estas webs imitaban a servicios legítimos para ganarse la confianza del usuario y lograr la instalación del malware, siguiendo un patrón muy parecido al observado ahora a nivel internacional. El uso de herramientas legítimas como gancho, combinado con técnicas de ingeniería social y suplantación digital, representa una amenaza cada vez más común también en el contexto español.

El truco consiste en hacer creer a los usuarios que están descargando software legítimo relacionado con aplicaciones conocidas. En realidad, están instalando una versión preconfigurada de Syncro que otorga a los ciberdelincuentes acceso total al dispositivo, incluyendo visualización de pantalla, acceso a archivos y ejecución de comandos. Dado que se trata de un software firmado y no malicioso por sí mismo, logra eludir los sistemas antivirus tradicionales.

Los ciberdelincuentes emplean el generador web basado en IA ‘Lovable’ para crear sitios falsos con apariencia profesional y dominios que imitan búsquedas comunes, como por ejemplo “Polymarket”, una plataforma de predicción de mercado. Las webs falsas no son clones exactos de las originales, sino versiones plausibles que resultan difíciles de identificar a simple vista. En muchos casos, se incluyen mensajes de alerta o urgencia (scareware) para incentivar la descarga inmediata.

“Esta campaña muestra cómo las herramientas legítimas pueden ser convertidas en armas mediante engaños impulsados por IA. Al automatizar la creación de sitios falsos de alta calidad, los atacantes escalan sus campañas y explotan la confianza de los usuarios en marcas conocidas y advertencias urgentes”, señala Vladimir Gursky, analista de malware en Kaspersky.

Para evitar este tipo de ataques, Kaspersky recomienda:
· No descargar software desde fuentes no verificadas, especialmente en dispositivos que manejan activos financieros o criptomonedas.
· Verificar cuidadosamente las URLs y asegurarse de que corresponden con las páginas oficiales.
· Revisar si hay herramientas de acceso remoto instaladas sin consentimiento y activar funciones de protección anti-phishing.
· Realizar auditorías de seguridad periódicas para detectar posibles intrusiones o software no autorizado.