Hay fechas señaladas en el calendario tanto para los cazadores de gangas como para los ciberdelincuentes. Ellos saben que en épocas de mayor volumen de compras online se baja la guardia y el fraude se abre camino. Conocer los engaños más utilizados para esquivarlos y saber cómo actuar si se ha caído en uno de ellos es fundamental para evitar males mayores.
Cómo detectar y reaccionar ante fraudes en Black Friday y Cyber Monday
“Tienes un pedido pendiente”. Este fue uno de los reclamos que se usó en una campaña de phishing que destapó el INCIBE en el Black Friday de 2023. Pretendía robar datos personales y bancarios a aquellos que mordían el anzuelo con el correo falso que suplantaba a una empresa de paquetería reconocida a nivel mundial. Dos años más tarde, este tipo de amenaza sigue siendo la herramienta favorita del fraude para los hackers en tiempos de picos de compras online. Según el informe Phishing Landscape 2024, casi medio millón de los ciberataques que se llevaron a cabo el año pasado se realizaron través de esta fórmula “y en eventos como Black Friday, Cyber Monday o Navidad se utiliza habitualmente como anzuelo en redes sociales y campañas masivas”, apunta Hervé Lambert, Global Consumer Operation Manager de Panda Security.
La prisa por aprovechar las ofertas, el enorme volumen de datos que se mueve y la gran cantidad de dinero en juego convierten estas fechas en un caldo de cultivo perfecto para el fraude. Los usuarios bajan la guardia y muchas empresas no consiguen absorber el pico de tráfico y transacciones sin tensiones. “Y es justo ahí cuando todo ocurre rápido y sin pensar, cuando aparecen los riesgos”, avisa Lambert. “Los estafadores saben que es más probable que alguien haga clic en un enlace dudoso, introduzca su tarjeta de crédito en una web desconocida o dé por bueno un correo que imita a su tienda habitual”, explica el experto. De ahí que el Black Friday y el Cyber Monday concentran cada año más intentos de fraude digital.
Brushing: la estafa silenciosa que llega por paquetería
“Además, ahora se ha colado una nueva estafa vinculada directamente a las compras en estos días”, apunta Lambert. Así lo advertía la Guardia Civil a través de sus redes sociales a finales de octubre. Aseguraban que ya se está practicando un engaño que recibe el nombre de brushing. “Se trata de una práctica en la que comerciantes envían artículos de bajo coste a direcciones reales de personas que no lo han solicitado. El objetivo es crear reseñas falsas y aparentar que hay una mayor actividad comercial en sus webs o que tienen más clientes satisfechos”. Cuenta el directivo de Panda Security. Considera este tipo de engaño como algo menor, señalando que el brushing es una estafa a tener en cuenta. “Detrás del brushing hay riesgos serios para la privacidad, los datos, la identidad digital y la seguridad financiera de las víctimas”.
Debemos pensar que para enviar un paquete es necesario conocer el nombre, la dirección física y, a veces, el teléfono y el mail de la persona que lo va a recibir. “Esto significa que la información de ese usuario puede estar ya circulando en bases de datos filtradas, compradas en la dark web o usadas sin permiso”, recuerda Lambert. “Y, con esa información básica se puede intentar abrir cuentas, pedir créditos, validar identidades y seguir ampliando el perfil digital de esa persona para futuros fraudes”, añade.
Instrucciones para no caer en estas estafas
Si recibe un paquete que no se ha solicitado, “nunca se debe escanear el código QR ni acceder a ningún enlace que aparezca. Tampoco hay que llamar a ningún teléfono, ni confirmar el pedido en la web, ni dejar ninguna valoración. Y, no se debe usar el producto ni tirarlo, porque, quizá, más adelante se requiere para la investigación si ésta se produce”, aconseja el experto de Panda Security. “Y, por supuesto, hay que revisar la cuenta de la plataforma de compra desde la que se envía ese producto. Hay que verificar los pedidos de ese usuario, las direcciones registradas, los métodos de pago y los dispositivos conectados. Además, se debe cambiar la contraseña o activar el doble factor de autenticación si se ve algo raro”.
Cómo actuar ante correos y ofertas sospechosas
Las ofertas y anuncios en redes sociales son otras de las trampas habituales en estas fechas. “Y, coincidiendo con el pico de compras, aumentan los correos y los SMS que suplantan a bancos, PayPal y otras formas de pago; y los avisos falsos de ‘actividad sospechosa en tu tarjeta’ o el ‘bloqueo por compras’ en Black Friday”, avisa Lambert.
En casi todas las estafas de estas fechas, “el peligro comienza cuando el usuario abre un enlace, descarga un archivo, escanea un QR o responde un mensaje”, dice el experto de Panda Security, “por lo que, antes de confiar en cualquier oferta, lo aconsejable es verificarla, es decir, confirmar ese descuento en la web oficial de la marca que supuestamente lo publicita, comprobar la existencia de la tienda online en caso de no ser conocida, y revisar la cuenta de la plataforma de compras, del banco o del operador desde las aplicaciones oficiales”.
Además, “y aunque suene a viejo, hay que recordar que siempre se debe sospechar de ofertas imposibles, urgentes, anuncios en los que se incita a la compra porque quedan pocas unidades y, por supuesto, comprobar el dominio cuando se decide a comprar en una determinada web, mirando si la URL contiene errores o caracteres raros y evitando las tiendas que sólo aceptan transferencia o criptomonedas”.
Qué hacer si ya caíste en un fraude online
Si ya hiciste clic en un enlace sospechoso, “cambia la contraseña inmediatamente, activa el doble factor de autenticación, revisa los movimientos de tu tarjeta y activa alertas de operaciones en tu banco”, señala el experto. Además, recuerda que siempre que se han metido los datos en alguna web falsa hay que contactar con las autoridades y los servicios oficiales. “Que en España son el INCIBE, la Policía Nacional o la Guardia Civil, y las entidades financieras”. Y, no está de más recordar que “hay que guardar las pruebas, hacer capturas de pantalla de correos, SMS o webs, guardar los números o direcciones del remitente y apuntar la fecha de cuando se recibió la estafa”.
Protegerse nunca es opcional. Menos aún en fechas tan señaladas como el Black Friday y el Cyber Monday. “Recuerda que la mejor compra siempre es aquella en la que se combina prevención, verificación y sentido crítico”, sentencia Lambert.