Sitios fraudulentos 2026: las señales que no debes ignorar

Imagínate que buscas unos zapatos deportivos en tu smartphone, encuentras una oferta increíble — 70% de descuento, envío gratis, reseñas entusiastas — haces clic, pagas. Los zapatos nunca llegan. El sitio desaparece. El dinero también. ¿Ciencia ficción? No. Es la realidad para millones de usuarios cada año.

La verdad es que las estafas online ya no son dominio de aficionados con sitios chapuceros llenos de errores gramaticales. Hoy existen herramientas basadas en inteligencia artificial — modelos generativos como los diversos GPT o sistemas equivalentes — capaces de generar en segundos páginas web creíbles, textos impecables, falsas reseñas e incluso logos empresariales convincentes. El nivel de calidad de estos sitios-estafa ha subido vertiginosamente. Y las defensas promedio de los usuarios no han seguido el ritmo.

En este artículo te muestro cómo funciona el mecanismo, qué señales técnicas y visuales debes aprender a reconocer, y sobre todo qué hacer antes de hacer clic en "comprar". Spoiler: muchas de las herramientas útiles ya las tienes en el bolsillo, en tu smartphone.

El fenómeno es mucho más grande de lo que crees

Hablemos de números, porque los números ponen en tierra tanto el hype como el miedo por igual. Según datos agregados por Wired Italia, las denuncias de fraude en el comercio electrónico en Europa superaron los 4.500 millones de euros en daños en 2025, con un incremento estimado del 34% respecto a 2023. En Italia, la Policía Postal ha registrado un aumento constante de denuncias relacionadas con sitios clonados y tiendas fantasma, con picos durante el Black Friday y las épocas festivas.

¿Qué cambió las reglas del juego? Tres palabras: inteligencia artificial generativa.

Hasta hace tres o cuatro años, un sitio fraudulento se reconocía casi de inmediato: texto copiado mal, imágenes pixeladas, URL surrealista, sin certificado HTTPS. Hoy no es así. Los ciberdelincuentes usan el mismo software que usan las empresas legítimas para construir landing pages, escribir descripciones de productos y generar testimonios falsos. Con un prompt bien redactado y una plataforma sin código, en menos de una hora tienes una tienda online que parece auténtica.

El problema es estructural, no marginal. Y quien te diga lo contrario no ha actualizado sus fuentes, o tiene algo que vender.

Las señales técnicas: lo que tu smartphone no ve por sí solo

Aquí va la lista. Pero no esperes algo trivial: cada punto tiene una razón técnica específica.

1. El dominio es sospechoso — siempre verificarlo Una URL como nikeoutlet-descuentos.es o amazon-ofertas2026.com es un ejemplo clásico de typosquatting o suplantación de marca: técnicas que consisten en crear dominios similares a los legítimos para engañar al usuario despistado. El dominio oficial de Nike es nike.com. Punto. Cualquier variación es una bandera roja. En el smartphone es más fácil caer en la trampa porque la barra de direcciones es pequeña y a menudo está oculta.

2. HTTPS no es sinónimo de seguridad Este es quizá el malentendido más peligroso. El candado verde — el certificado SSL/TLS que garantiza la conexión cifrada — solo dice que la comunicación entre tú y el sitio está encriptada. No dice nada sobre la fiabilidad del sitio en sí. Los estafadores obtienen certificados SSL gratis en minutos a través de servicios como Let's Encrypt. Un sitio de estafa puede tener el candado verde. Desconfía de quien usa el candado como prueba de confiabilidad.

3. Páginas "Quiénes somos" inexistentes o genéricas Los sitios legítimos tienen una historia, una dirección física verificable, un número de NIF o CIF. Los sitios fraudulentos tienden a tener secciones "Acerca de" llenas de texto fluido pero vacío, generado por inteligencia artificial: frases bonitas sobre "pasión por la calidad" y "años de experiencia", sin nunca un nombre real, una dirección o un número de teléfono funcionando.

4. Métodos de pago inusuales Transferencia bancaria directa, recargas de tarjetas, criptomonedas, tarjetas de regalo: estos métodos no ofrecen protección al consumidor. Las tarjetas de crédito y sistemas como PayPal tienen sistemas de chargeback — es decir, la posibilidad de solicitar un reembolso en caso de fraude. Si un sitio acepta solo métodos no rastreables o no reembolsables, casi siempre es una señal de alarma.

5. Reseñas todas perfectas, todas recientes Las reseñas auténticas tienen una distribución natural: siempre hay alguien insatisfecho, las puntuaciones están dispersas en el tiempo, el lenguaje varía. Un perfil con 200 reseñas de cinco estrellas escritas todas en el mismo mes, con frases similares y sin respuesta de la empresa, casi seguramente está construido artificialmente. Existen programas dedicados que generan lotes de falsas reseñas en segundos.

6. Ausencia de políticas claras Política de Privacidad y Términos y Condiciones escritos de forma genérica, no localizados para la jurisdicción italiana o europea, o incluso copiados de otros sitios (verificable pegando un párrafo en Google) son señales precisas. El GDPR impone requisitos específicos: un sitio europeo legítimo los respeta.

7. El diseño es "demasiado perfecto para ser verdad" ¿Paradójico, verdad? Pero en la era de la inteligencia artificial, un sitio construido con plantillas de IA tiende a tener una perfección aséptica, sin la personalidad típica de una empresa real. Ninguna foto auténtica del equipo, imágenes de stock demasiado pulidas, tipografías y colores impecables pero anónimos.

Cómo verificar un sitio: herramientas prácticas para usar de inmediato

Aquí está lo que hacer concretamente, incluso directamente desde el smartphone.

  • Whois Lookup: servicios como whois.domaintools.com permiten ver cuándo fue registrado un dominio y por quién. Un dominio registrado hace tres semanas que vende electrónica con descuentos del 60% es sospechosísimo.

  • Google Safe Browsing: escribe https://transparencyreport.google.com/safe-browsing/search e inserta la URL del sitio. Google mantiene una lista actualizada de sitios peligrosos.

  • Busca el número de teléfono o correo en Google: una empresa legítima tiene rastros en la web. Si buscas el número y no encuentras nada, o encuentras denuncias de estafa, tienes tu respuesta.

  • Verifica el NIF/CIF: si el sitio dice ser español, el NIF/CIF es verificable gratuitamente en el sitio de la Agencia Tributaria.

  • Usa buscadores para encontrar reseñas externas: busca el nombre del sitio + "reseñas", "estafa", "foro". Truecaller y Trustpilot son puntos de partida útiles, pero también pueden ser manipulados. Busca discusiones en foros independientes como Reddit o foros de tu sector.

  • Escanea con tu software de seguridad: muchos antivirus modernos para smartphone — desde Bitdefender a Norton a Kaspersky — tienen módulos de protección web en tiempo real que analizan URLs antes de que la página se cargue.

Mi punto de vista

Digámoslo claramente: la culpa casi nunca es del usuario. Años de campañas de "educación digital" han cargado en las personas una responsabilidad que deberían tener las plataformas. Si Google, Meta y marketplaces como Amazon o eBay realmente quisieran eliminar los sitios fraudulentos de sus resultados de búsqueda y espacios publicitarios, podrían hacerlo de forma mucho más agresiva. Tecnologías de verificación existen. Falta la voluntad y el incentivo económico.

A mi parecer, el verdadero problema es que la inteligencia artificial ha bajado a cero el costo de entrada para los estafadores. Hace tiempo, construir un sitio creíble requería competencias, tiempo, dinero. Hoy basta una suscripción de veinte dólares a un software generativo y algunas horas. La brecha entre atacante y defensor se ha ampliado enormemente.

¿Qué funciona de verdad? La verificación manual, tediosa y lenta. Ningún algoritmo de plataforma te protegerá completamente. Se necesita el hábito — y la desconfianza sistemática — de detenerse treinta segundos antes de comprar. En mi experiencia, quien se deja engañar raramente es estúpido: simplemente tiene prisa.

Los riesgos que nadie te dice

Esta sección es la que realmente importa. A menudo se habla de estafas online como si el daño fuera solo económico. No es así.

El robo de identidad es más grave que la pérdida de dinero. Cuando insertas nombre, apellido, dirección, número de tarjeta y a veces incluso una copia del documento en un sitio fraudulento, tus datos entran en un mercado paralelo. En la dark web, un conjunto completo de datos personales españoles vale entre 30 y 150 euros, dependiendo de la completitud. Esos datos se revenden múltiples veces, se usan para abrir financiamientos, para fraudes fiscales, para SIM swapping — una técnica que consiste en transferir tu número de teléfono a una SIM controlada por criminales para eludir la autenticación de dos factores.

El smartphone es el punto débil más subestimado. La mayoría de usuarios usan dispositivos móviles sin protección. La pantalla pequeña oculta las URLs. Las notificaciones push pueden ser falsificadas para parecer comunicaciones bancarias legítimas. Y muchas aplicaciones clonadas logran pasar desapercibidas en las tiendas, a pesar de los controles declarados de Apple y Google.

La inteligencia artificial es también un arma de phishing de voz. En 2025 emergieron casos documentados de estafas donde un audio clonado con IA — la voz de un familiar o funcionario bancario — se usaba para llamar a las víctimas y convencerlas de hacer transferencias. Según TechCrunch, las estafas basadas en clonación de voz aumentaron un 300% en dos años. Esto no solo concierne sitios: afecta todo el ecosistema digital.

El caso de Marco Ferretti, Madrid, 2025

Marco Ferretti, 41 años, diseñador gráfico autónomo de Madrid, perdió 2.340 euros en noviembre de 2025. Encontró en Instagram un anuncio de una oferta de tablet profesional a precio reducido. El sitio era cuidado, tenía reseñas, una sección FAQ detallada, incluso un chat en vivo — en realidad un chatbot alimentado por IA que respondía de forma convincente.

Pagó con transferencia bancaria. El tablet nunca llegó. El chat en vivo dejó de responder. El sitio desapareció después de diez días. La denuncia a la Policía Nacional fue archivada: los servidores estaban en un país fuera de la UE, los responsables irrastreables.

¿Qué lo habría salvado? Simple: buscar el dominio en Whois habría revelado que fue registrado doce días antes. Ese detalle solo, por sí solo, habría cerrado la historia.

Preguntas Frecuentes

P: ¿Cómo sé si un sitio es seguro antes de comprar? R: Verifica la antigüedad del dominio en un servicio Whois, comprueba la presencia de un NIF/CIF real y busca el nombre del sitio en Google añadiendo la palabra "estafa". Son tres movimientos que requieren tres minutos y cubren la mayoría de riesgos.

P: ¿El candado HTTPS significa que el sitio es confiable? R: No. El candado certifica solo que la conexión está cifrada, no que el sitio sea legítimo. Los estafadores obtienen certificados SSL gratis fácilmente. No confíes solo en el candado.

P: ¿Qué hago si ya he insertado mis datos en un sitio sospechoso? R: Bloquea inmediatamente la tarjeta de crédito o cuenta bancaria afectada, cambia las contraseñas de las cuentas vinculadas al correo usado, presenta denuncia a la Policía Nacional y reporta el sitio a la CNMC (Comisión Nacional de los Mercados y la Competencia).

P: ¿Puede la inteligencia artificial ayudarme a reconocer estafas? R: Sí y no. Existen extensiones de navegador y software que usan IA para analizar páginas en tiempo real. Pero la IA es también la herramienta usada por estafadores para construir sitios. El arma más efectiva sigue siendo el hábito de verificación manual.

P: ¿Son los marketplaces como Amazon o eBay seguros al 100%? R: No. Ambas plataformas alojan vendedores terceros, algunos de los cuales son fraudulentos. Siempre verifica las calificaciones del vendedor específico, la fecha de registro de la cuenta y las políticas de devolución antes de comprar.

Conclusión

Recapitulando los tres puntos que realmente importan: primero, la inteligencia artificial ha hecho que los sitios fraudulentos sean indistinguibles a simple vista de los legítimos — el nivel de calidad visual ya no es un indicador confiable. Segundo, las herramientas de verificación existen, son gratuitas y a menudo ya están en tu smartphone: usarlas requiere treinta segundos, no horas. Tercero, el daño de una estafa online rara vez se limita al dinero: el robo de identidad que puede resultar es un problema que dura años.

¿El consejo práctico inmediato? A partir de hoy, antes de cualquier compra en un sitio que no conozcas, copia la URL e insértala en un servicio Whois. Si el dominio tiene menos de tres meses, cierra la pestaña. No necesitas nada más.