.Gov: Su mejor defensa contra los sitios web falsos del gobierno
Steve Kelley
April 28, 2026•
.png)
April 28, 2026•
Todos hemos oído hablar de deepfakes: imágenes falsas, videos falsos, voces falsas. Pero hay otro tipo de falseamiento que es igualmente peligroso y que no recibe suficiente atención: los sitios web falsos del gobierno.
El objetivo de estos sitios web es simple: persuadir a los consumidores para que ingresen su información personal (por ejemplo, nombre, número de Seguro Social (SSN) o datos bancarios) disfracándose como una entidad gubernamental real. Es una táctica altamente efectiva. El gobierno federal pierde una estimación $233 mil millones a $521 mil millones cada año al fraude, según la Oficina de Rendición de Cuentas del Gobierno de Estados Unidos. Las estafas de suplantación de identidad del gobierno por sí solas cuestan a los consumidores más de $1.1 mil millones en 2023, más de tres veces lo reportado apenas tres años antes, según la FTC.
Si trabajas en o alrededor de programas federales, incluyendo beneficios, servicios ciudadanos, ciberseguridad y prevención de fraudes, entonces este es un problema que no puedes ignorar. Para el público, la comprobación de URL es un filtro rápido. Para las agencias, también es una señal: la verdadera pelea comienza después de que se roben las credenciales.
Los estafadores y los hackers están usando Herramientas de IA para crear sitios web falsos que son casi indistinguibles de lo real. Estamos hablando de réplicas exactas de sitios gubernamentales legítimos, con el mismo diseño, los mismos logotipos y el mismo lenguaje. Cualquier persona con $10 y una computadora portátil puede hacer girar uno en una tarde.
Todos estamos familiarizados con terminaciones de URL como .com, .org, .io y.gov. Estos se denominan dominios de nivel superior (TLD) y están destinados a ayudar a los usuarios de Internet a identificar qué tipo de organización hay detrás de un sitio web. Por ejemplo, .gov señala un sitio del gobierno de Estados Unidos, .edu señala una institución educativa y .com se utiliza para fines comerciales generales.
La mayoría de nosotros no hemos pensado mucho en ellos. Sin embargo, los súper nerds, como yo, se entusiasman con los desarrollos en el mundo de los TLD, por ejemplo, cuando la Corporación de Internet para la Asignación de Nombres y Números (ICANN) abrió solicitudes para nuevos TLD en 2012 y amplió la lista de alrededor de 22 a más de 1,500. Hoy en día, puede registrar un dominio como myawesomesite.com, myawesomesite.ai, myawesomesite.family, o myawesomesite.love (la lista continúa).
Pero con una gran oportunidad viene una gran responsabilidad. Con una amplia gama de TLD disponibles, ahora es más fácil que nunca para los estafadores crear y difundir sitios web gubernamentales convincentes pero ilegítimos. Es fundamental mantenerse alerta cuando se interactúa con entidades pseudogubernamentales en línea.
Afortunadamente, los estafadores no pueden registrar dominios.gov. Solo las organizaciones gubernamentales estadounidenses verificadas pueden usar un dominio.gov. (El programa.gov es administrado por CISA) Entonces, cuando un estafador construye un sitio web gubernamental falso, tiene que usar una URL similar, como gsa-gov.org en lugar de gsa.gov. La Oficina del Inspector General de la GSA ha emitido una alerta específica sobre esta táctica exacta.
Antes de escribir cualquier cosa sensible en un sitio web pseudo-gubernamental, tómese dos segundos y escanee la barra de direcciones. Pregúntate a ti mismo:
gsa-gov.org vs gsa.gov)?No dejes que el icono de candado (HTTPS) te convenza de que un sitio es oficial. Los estafadores también pueden obtener HTTPS. Y, en caso de duda, navegue desde un directorio oficial de confianza o una página de agencia conocida en lugar de hacer clic en un enlace.
En la clase de IA de educación comunitaria que imparto, este es el consejo más simple e importante que les doy a mis alumnos: Antes de escribir su nombre, SSN o tarjeta de crédito en cualquier sitio web pseudo-gubernamental, mire la URL.
Si no termina en .gov, parar. No haga clic, no llene nada y no llame a ningún número de teléfono en esa página. Los sitios web del gobierno real siempre usarán una dirección.gov. Los estafadores saben que la mayoría de la gente no se molesta en verificar, y eso es exactamente con lo que cuentan.
Se necesitan dos segundos para echar un vistazo a la barra de direcciones, y esos dos segundos podrían ahorrarle miles de dólares y un montón de dolores de cabeza.
Verificar el TLD es una excelente primera línea de defensa, pero desafortunadamente no es un completo a prueba de fallas. Como resultado, es importante entender lo que sucede después alguien ingresa su SSN u otra información confidencial en un sitio web falso del gobierno.
Los datos confidenciales no solo se quedan ahí. Se vende, se agrupa y se implementa rápidamente. Los estafadores utilizan credenciales recolectadas para presentar reclamos de beneficios fraudulentos, abrir cuentas bajo identidades robadas y hacerse pasar por ciudadanos reales en el punto de entrega de servicios gubernamentales. El sitio web falso es solo el mecanismo de recolección. El daño real ocurre aguas abajo, cuando esa identidad robada se inyecta en un sistema legítimo.
Problemáticamente, cuando alguien usa datos robados de un portal gubernamental falso para solicitar beneficios, acceder a servicios federales o verificar su identidad en línea, la información que presenta parece completamente real, porque es real. Simplemente no es suyas. Los métodos de verificación tradicionales tienen dificultades aquí porque las credenciales son válidas.
Plataforma de verificación de identidad de Incode está diseñado específicamente para atrapar este tipo de ataques de inyección. Analizamos el panorama completo en tiempo real: ¿La persona que presenta una identidad coincide realmente con la identidad que se reclama? Hacemos referencias cruzadas de señales biométricas, autenticidad de documentos y patrones de comportamiento para distinguir a un solicitante legítimo de alguien que empuñe un SSN robado y una imagen de identificación descargada. No importa cuán convincentes se ven los datos recolectados, la persona detrás de la pantalla todavía tiene que ser quien dice ser.
¿Pueden los estafadores usar dirección.gov?
No, porque los dominios.gov están restringidos a organizaciones gubernamentales estadounidenses verificadas. Es por eso que los estafadores confían en URL parecidas.
¿Las dirección.gov son siempre seguras?
Es una de las señales más fuertes de que estás en un dominio federal oficial, pero no es una garantía de que cada página esté libre de riesgos. Siempre manténgase alerta a los enlaces sospechosos, solicitudes inesperadas de información confidencial y cualquier cosa que se sienta “desactiva”.
¿Qué es un sitio web de estafa de suplantación de identidad del gobierno?
Es un sitio diseñado para parecerse a una agencia real o portal de beneficios para que pueda recopilar información personal o dirigirte a llamar a un número fraudulento.
¿Cómo informo un sitio web gubernamental falso?
Si cree que encontró un sitio de suplantación de identidad del gobierno, repórtelo a través de los canales federales apropiados (por ejemplo, la Oficina del Inspector General de la agencia) y presente un informe ante la FTC.
La estafa no termina cuando alguien cierra la pestaña falsa. Verifique el TLD. Busque .gov. Y si no está ahí, aléjate. Y para las agencias y organizaciones del otro lado de esa pantalla de inicio de sesión, asegúrese de que su verificación de identidad pueda detectar lo que ninguna verificación de URL podría haber podido.
Incode fue nombrado Líder en el Cuadrante Mágico de Gartner® 2025™ para la Verificación de Identidad. Descargar el informe.
%20(1).avif)
