Un nuevo estudio de Check Point Research, división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), reveló una tendencia preocupante en los dominios con temática del Black Friday registrados recientemente: se descubrió que 1 de cada 11 sitios web creados entre octubre y noviembre tenía intenciones maliciosas; muchos de ellos diseñados para suplantar a marcas de confianza como Amazon, AliExpress y la marca de calzado deportivo HOKA.
Los periodos de compras estacionales suelen provocar picos en el registro de dominios, y los ciberdelincuentes aprovechan la oportunidad para camuflar infraestructuras fraudulentas. En octubre se registraron 158 nuevos dominios relacionados con el Black Friday, un asombroso aumento del 93 % con respecto al promedio mensual de 2025. A principios de noviembre, este crecimiento se intensificó, con más de 330 nuevos dominios relacionados que aparecieron tan solo en los primeros 10 días.
Este ritmo coincide con el comportamiento histórico. En 2024, el registro de dominios relacionados con el Black Friday creció un 188 % entre octubre y noviembre. Según las tendencias actuales, es probable que aparezcan cientos de dominios adicionales antes de que finalice el mes.
De todos los nuevos dominios observados en octubre y principios de noviembre, 1 de cada 11 se clasificó como malicioso.
Un subgrupo específico de estos dominios maliciosos utiliza un patrón de nombres estructurado que combina el año 2025, el nombre de un país (principalmente España, Italia y Alemania) y terminología relacionada con el Black Friday. Algunos ejemplos son:
- 2025germanyblackfriday[.]com
- germany2025blackfridaystores[.]com
- italyblackfriday2025[.]com
- spain2025blackfridayshop[.]com
Aparecen con frecuencia sufijos como «shop», «mall», «stores» y «factory», lo que sugiere el uso de plantillas automatizadas o herramientas de registro masivo.
A fecha de 17 de noviembre, la mayoría de estos sitios web son inaccesibles; sin embargo, los sitios web italianos siguen activos. Todos comparten plantillas visuales muy similares con diferentes logotipos genéricos como «ClickShop», «ShopPay» y «SmartShopping». Todos los sitios web contienen imágenes de gran tamaño, aparentemente extraídas de bancos de imágenes (algunas incluso con marcas de agua), fotografías de diversos artículos en oferta y, en algunos casos, enlaces internos que mencionan marcas conocidas como H&M, Mango, Columbia y Ovs.
Estos ejemplos sugieren una campaña personalizada, con un sitio activo en italiano y los demás probablemente configurados en alemán y español. Estos sitios adicionales están actualmente inactivos, aunque podrían haber estado activos en el pasado o podrían volver a estarlo. Una operación de este tipo, incluyendo todo el contenido, se puede realizar de forma mucho más rápida y sencilla con las herramientas actuales de IA generativa. Crear y adaptar este tipo de operaciones es significativamente más rápido y fácil con estas herramientas. Si bien no hay pruebas concluyentes de que se haya utilizado IA en estos casos específicos, los atacantes están adoptando cada vez más estas herramientas, lo que hará que las futuras campañas sean más amplias, más específicas y más difíciles de detectar.
Aumento de dominios que suplantan a importantes marcas de comercio electrónico
Además de la temática del Black Friday, el abuso de marcas sigue siendo un factor determinante del cibercrimen, especialmente en esta época. En octubre de 2025, los investigadores identificaron 1519 dominios nuevos que hacían referencia a sitios web de comercio electrónico de renombre como Amazon, AliExpress o Alibaba. Esto representa un aumento del 24 % con respecto a septiembre de 2025 y del 12 % en comparación con octubre de 2024. De estos sitios web, 1 de cada 25 se identificó como una amenaza activa.
Caso práctico: Estafa de HOKA en el Black Friday
El dominio hokablackfriday[.]com alojaba un sitio web fraudulento que suplantaba a la marca de calzado deportivo HOKA. El sitio utilizaba:
- El logotipo oficial
- Imágenes de productos de alta calidad
- Precios con grandes descuentos para generar urgencia
Registrado el 24 de octubre de 2025, el dominio fue marcado como phishing. La campaña buscaba robar información personal, credenciales de cuentas y datos de tarjetas de crédito ingresados durante un proceso de pago falso.
Caso práctico: Estafa de phishing en AliExpress
El sitio web aliexpress62[.]com imitaba fielmente la apariencia de la plataforma legítima de AliExpress, incluyendo elementos de marca y contenido promocional.
Registrado el 5 de octubre, detectamos que el dominio se utilizaba para obtener información personal, credenciales de inicio de sesión de AliExpress y datos de tarjetas de pago.
Recomendaciones para profesionales de ciberseguridad
El volumen y la estructura de estos registros de dominios ilustran un ecosistema de ciberdelincuencia coordinado y escalable, que probablemente se intensificará y sofisticará con la adopción de herramientas de IA generativa por parte de los ciberdelincuentes. Los profesionales de ciberseguridad deben tomar medidas específicas para reducir la exposición durante los periodos de mayor actividad comercial:
- Supervisar los picos de dominios recién registrados que hagan referencia a marcas, términos comerciales y plantillas de nombres predecibles.
- Implementar protecciones de endpoints para bloquear el acceso a dominios maliciosos o recién registrados, prevenir el robo de credenciales y detener los sitios de phishing antes de que los usuarios interactúen con ellos.
- Utilizar una solución externa de gestión de riesgos para descubrir continuamente los activos expuestos a internet, detectar la suplantación de identidad de dominios y marcas, y automatizar la eliminación de la infraestructura fraudulenta.
- Proporcione directrices internas y externas claras sobre cómo verificar las URL y evitar los ataques de phishing estacionales.
- Mejore los controles antifraude en los flujos de pago, incluyendo la evaluación de riesgos para las transacciones originadas en dominios recién registrados.
Un enfoque proactivo y basado en inteligencia es esencial, ya que los atacantes automatizan la creación de dominios, amplían sus estrategias de suplantación de identidad y aprovechan el alto volumen de transacciones en línea durante el Black Friday.
