Durante la temporada del Hot Sale 2025, que se celebra del 26 de mayo al 3 de junio, se ha detectado una compleja operación de suplantación de identidad digital. Un análisis de expertos en ciberseguridad, en coordinación con el medio de comunicación Publimetro, identificaron más de 700 páginas web fraudulentas alojadas en una única dirección IP, todas diseñadas para parecer tiendas oficiales de marcas populares en México.

Grupo chino, detrás de fraudes digitales en Hot Sale 2025

Se sospecha que detrás de esta red se encuentra un grupo con posible origen chino, cuyo objetivo principal es capturar información bancaria de compradores desprevenidos, aprovechando uno de los períodos con mayor volumen de compras online y, por ende, mayor vulnerabilidad ante fraudes cibernéticos.

Estas páginas falsas reproducen de forma casi exacta el diseño, colores y lenguaje de las plataformas oficiales de marcas conocidas en el país, abarcando desde grandes tiendas departamentales como Liverpool, Suburbia y Coppel, hasta firmas de moda, calzado deportivo y hasta clubes deportivos.

Suburbia, Price Shoes, Steve Maden entre las páginas falsificadas

En total, se identificaron intentos de falsificación de páginas web de al menos 27 empresas, incluyendo:

Suburbia, Bodega Aurrera, Flexi, Liverpool, InnovaSport, Cuadra, Walmart, Taf Sneaker, Coppel, Original Penguin, Rainnys, Team Pro Standards, Price Shoes, Sodimac, Prada, Regina Romero, Steve Madden, Timberland, Toluca FC, Pirma/Pinda, Perrísimo, Pop Mart, SMSALE, The Body Shop y Udiscover. Todas ellas participantes del Hot Sale 2025.

Técnicas y funcionamiento del fraude (evita estafas en Hot Sale 2025)

Los sitios fraudulentos cuentan con una interfaz casi idéntica a la original, con logos, catálogos de productos, métodos de pago y hasta políticas de privacidad falsas para dar mayor credibilidad. Cuando un usuario ingresa los datos de su tarjeta, el sistema muestra un mensaje de error genérico (como “Contacte a su banco para autorizar”), pero la información queda almacenada en servidores controlados por los atacantes.

El análisis del código fuente reveló que muchos sitios utilizan dominios vinculados a servidores backend, como seirennr.com, donde se guardan o validan los datos capturados. Además, estos dominios fueron registrados recientemente, entre abril y mayo de 2025, y muchos usan servicios DNS ubicados en China, concretamente HiChina, parte de Alibaba Cloud.

Origen y modus operandi

Según el experto en ciberseguridad Nicolás Azuara, la presencia de registros Whois en mandarín y servidores DNS chinos refuerzan la teoría de que la operación se coordina desde Asia. Los sitios fraudulentos incluyen avisos de privacidad simulados para aparentar legitimidad, y su arquitectura permite crear y replicar rápidamente nuevas páginas falsas con distintas marcas.

Estas páginas suelen alojarse en plataformas como Cloudflare, lo que oculta la verdadera dirección IP del servidor y dificulta su rastreo. Además, algunos dominios son reutilizados: por ejemplo, un sitio que antes simulaba ser InnovaSport ahora apunta a una tienda falsa de Panam, lo que indica que los atacantes ajustan su estrategia según la popularidad y la demanda del momento.

Advertencias para consumidores

Pruebas realizadas confirmaron que al ingresar datos falsos, las páginas responden como si estuvieran procesando pagos reales, mostrando temporizadores de “carrito reservado” y logos de métodos de pago reconocidos como Visa, MasterCard, PayPal, Oxxo y SPEI, buscando generar confianza y evitar sospechas.

TE INTERESA: Esto NO debes comprar en el Hot Sale

Para protegerse, se recomienda verificar cuidadosamente que la URL coincida exactamente con la oficial, evitar páginas con terminaciones inusuales como .shop, .promo o .store, y sospechar de nombres que incluyan términos como -mx, oficial, venta o ahorra. En caso de duda, lo más seguro es ingresar desde buscadores confiables o directamente desde las redes sociales oficiales de las marcas.

Aquí el reportaje original