Recientemente, la empresa de seguridad informática ESET identificó un sitio web falso que se hace pasar por la popular aplicación de edición de videos CapCut. Este sitio engañoso promete a los usuarios la posibilidad de crear videos utilizando inteligencia artificial (IA), pero en realidad lo que descarga es un troyano que permite a los cibercriminales acceder remotamente a los equipos de las víctimas.
Este caso no es aislado, sino que forma parte de una campaña más amplia en la que también se han detectado sitios falsos que suplantan la identidad de otras marcas populares como Adobe o Canva. Estos sitios web fraudulentos utilizan la IA como señuelo para atraer a los usuarios y robar sus datos o instalar software malicioso en sus equipos.
Cómo Funciona el Sitio Falso de CapCut
Según el reporte de ESET, el sitio falso llamado «capcutproia» simula ser una herramienta para crear videos con la ayuda de la inteligencia artificial. Al ingresar, los usuarios se encuentran con una web muy similar a la del sitio oficial de CapCut.
El siguiente paso que ofrece el sitio es escribir un prompt o subir una imagen de referencia para crear el video deseado. El sitio simula que está procesando el pedido, pero en realidad lo que está haciendo es descargar un archivo malicioso.
«Es importante marcar que el archivo que se obtiene de la descarga es un troyano. Es decir, un archivo que dice ser algo que en realidad no es. En este caso puntual el archivo que se presenta como el video generado en realidad descarga una herramienta que permite a un tercero conectarse remotamente en el equipo del usuario.» – Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Específicamente, el archivo descargado es un instalador de una herramienta similar a TeamViewer, que permite a los cibercriminales acceder y controlar remotamente el equipo de la víctima sin que esta lo sepa.
Otros Sitios Falsos Similares
Además del sitio falso de CapCut, los responsables de esta campaña maliciosa también han creado sitios similares que se hacen pasar por herramientas para crear contenido con IA, simulando ser de marcas como Canva o Adobe.
Según el reporte de la empresa Silent Push, se han identificado al menos 13 sitios web con el mismo comportamiento: hacer creer a los usuarios que descargan un archivo generado con la herramienta, cuando en realidad están descargando un software que permite el acceso remoto a sus equipos.
Consejos para Evitar Ser Víctima
Desde ESET recomiendan incorporar buenos hábitos de seguridad para identificar sitios web legítimos y evitar caer en este tipo de estafas:
- Verificar siempre la URL antes de acceder o ingresar datos.
- Evitar descargas innecesarias en herramientas que funcionan desde la web.
- Implementar una solución de seguridad para analizar los archivos descargados antes de ejecutarlos.
- Mantenerse informado sobre las últimas campañas de phishing y sus posibles riesgos.
Recuerda que la mejor defensa contra este tipo de amenazas es la prevención y la educación. Mantente alerta y comparte estos consejos con tus colegas creadores de contenido para proteger tu trabajo y tu privacidad.
