Ya ha comenzado el Amazon Prime Day 2025, que este año se extiende hasta el 11 de julio y millones de consumidores afinan sus listas de deseos con la esperanza de aprovechar los mejores descuentos del año. Pero mientras los usuarios se preparan para llenar sus carritos virtuales, los ciberdelincuentes también se organizan, y esta vez lo hacen con una ofensiva sin precedentes.
Según un análisis reciente de NordVPN, en el mes de junio se registraron más de 1.000 dominios nuevos que suplantan la imagen de Amazon, muchos de ellos diseñados expresamente para este evento. De esos dominios, un 87% ya han sido marcados como sospechosos o directamente maliciosos, y una proporción significativa incluyen la frase “Amazon Prime” en la dirección web para reforzar la ilusión de legitimidad.
La magnitud del problema es incluso mayor si ampliamos el foco temporal. Solo en los últimos dos meses, los investigadores identificaron más de 120.000 páginas maliciosas que se hacen pasar por Amazon. Entre ellas destacan unas 92.000 webs de phishing creadas para robar credenciales de acceso, 21.000 plataformas de distribución de malware y 11.000 sitios que ofertan productos falsificados.
Si bien la suplantación de identidad a gran escala no es nueva, la combinación de urgencia, volumen de tráfico y confianza en la marca convierte a Prime Day en un escenario ideal para el fraude.
El caldo de cultivo perfecto
El fenómeno no surge de la nada. Amazon Prime Day es ya un evento comercial masivo: genera miles de millones de dólares en ventas en apenas unos días y concentra el interés de usuarios que, por prisas o emoción, pueden bajar la guardia.
Este año, Amazon decidió ampliar la duración de la campaña, pasando de dos a cuatro días de ofertas, un margen que no ha pasado desapercibido para los actores maliciosos. El año pasado, la compañía reconoció un incremento del 80% en los fraudes de suplantación durante Prime Day 2024 en comparación con el año anterior. Todo apunta a que 2025 superará esa cifra.
El repertorio de ataques es amplio, pero se centra en dos tácticas principales:
-
Dominios falsos: direcciones web que imitan las páginas de inicio de sesión o pago de Amazon, con pequeños matices difíciles de detectar. Ejemplos reales detectados por Check Point Research incluyen dominios como:
-
Amazon02atonline51[.]online, dirigido a clientes alemanes, con un clon del login oficial. -
amazon-2025[.]top, orientado a recopilar contraseñas y datos de pago.
-
-
Correos de phishing: mensajes que llegan al buzón con asuntos alarmantes, como “Reembolso pendiente – Error del sistema Amazon” o “Problemas con su cuenta”. Estos emails utilizan remitentes falsificados que parecen provenir de Amazon y redirigen a webs clonadas.
En muchas ocasiones, estas campañas van acompañadas de SMS o llamadas telefónicas fraudulentas, que buscan darle un matiz más creíble al engaño.
Un ejemplo de ataque real
Uno de los fraudes más sofisticados detectados recientemente empezó con un correo que alertaba de un reembolso pendiente. El mensaje, cuyo remitente figuraba como [email protected] (suplantado), contenía un enlace directo a una página de inicio de sesión idéntica a la oficial.
La diferencia: al introducir las credenciales, estas iban a parar directamente a un servidor controlado por los atacantes.
Otro vector frecuente es el falso aviso de retirada de producto, que llega por SMS con un supuesto número de pedido. La urgencia (“su producto ha sido retirado por riesgos de seguridad”) induce al usuario a hacer clic en un enlace donde se solicita información personal o bancaria.
Si bien durante años el principal objetivo de estos fraudes era el robo de credenciales, los atacantes están pivotando hacia otro terreno: los pagos no autorizados. Entre abril y julio, los incidentes relacionados con cargos fraudulentos crecieron del 28% al 38%, según datos de firmas de ciberseguridad. Este matiz hace que la víctima no solo pierda el acceso a su cuenta, sino que también sufra pérdidas económicas inmediatas.
