En periodo de rebajas las ciberestafas llegan disfrazadas de descuentos imposibles que apelan a la emoción y a la urgencia, y están diseñadas para hacer que el usuario actúe sin pensar y dé clic a páginas no verificadas que pueden ser la puerta de entrada a un fraude, un robo de datos o una infección de malware. Un riesgo que, además, es bidireccional, porque las empresas que lanzan sus ofertas también pueden ser hackeadas poniendo en peligro su información, su cuenta de resultados y su reputación.
Nadie da duros a pesetas. Traducción para los centennials: nadie regala nada o vende nada por debajo de su valor. Las gangas siempre están medidas, calculadas para que quien las ofrece gane algo con ellas. Por eso, cuando encontramos ofertones en Internet y productos o servicios muy por debajo de su precio habitual, tenemos que preguntarnos: ¿será una trampa?
Cada día, en nuestros dispositivos nos asaltan mensajes, vídeos, reels con contenido publicitario que engancha por su buena composición, su alta calidad y porque suele tratarse sobre productos o servicios que nos atraen, que conectan con nuestros gustos. Dejando a un lado el tema de las nuevas estrategias de publicidad online y el poder de los algoritmos (esto daría para otro texto), este bombardeo comercial constante no sólo provoca mejores ratios para las empresas que hay detrás, también invita a los usuarios a comprar de forma impulsiva, aviva ciertos comportamientos tóxicos en nuestros hábitos de consumo y, a veces, también son la trampa perfecta de otro tipo de amenazas para nuestros datos e información confidencial.
Cada vez más personas compran de manera irreflexiva, sin darle más vueltas. En España, según el último estudio publicado por Hostinger, el 35% de los consumidores lo hace, al menos, dos veces al mes, y un tercio se arrepiente al instante. Y en periodo de rebajas la cifra puede aumentar de manera significativa. Las atractivas promociones y la facilidad para poder adquirir casi cualquier producto o servicio desde casa con un solo clic explica este aumento en las ventas. Un incremento que también aprovechan los ciberdelincuentes para lanzar sus redes. Ya se sabe que a mar revuelto… Pero no nos liemos con refranes y frases hechas y vayamos al turrón. ¿Cuáles son las ciberestafas más habituales en esta época y de qué estrategias se valen los delincuentes para engañarnos?
Las trampas de las rebajas ‘fake’
En tiempos de rebajas se produce, tanto en el comercio físico como en el online, un aumento notable en el volumen de compradores. Sin ir más lejos, las ventas en línea pueden llegar a crecer hasta un 30% o más en comparación con otros periodos, gracias a la búsqueda de ofertas y promociones por parte de los usuarios, quienes aprovechan estas temporadas para adquirir productos a precios reducidos. Una cifra que sube año a año: Se espera que durante las rebajas de verano de este 2025, el volumen de pedidos online sea un 10% mayor que en el mismo periodo del ejercicio anterior, y el ticket medio alcance los 223 euros, es decir, un 15% más, según un estudio de Webloyalty, plataforma dedicada a generar ingresos adicionales para ecommerce a través de una solución de retail media.
El comercio electrónico, por tanto, se dispara. Y, desde el punto de vista de los ciberdelincuentes, hay más posibles víctimas en la diana que en otras épocas del año, hay más ruido digital, lo que les permite esconderse entre miles de ofertas reales, y más canales de ataque: webs, apps, redes sociales, emailing, etcétera. Además, el comportamiento del consumidor cambia. Ahora, las emociones dominan sus decisiones y compran de manera impulsiva, porque sienten que compiten por los productos, y temen que puedan perder esa oportunidad. No sólo eso. En esta época tienen el gatillo fácil y compran más con menos atención a los detalles, y aumenta el uso de tarjetas, pasarelas y apps de pago, lo que facilita el robo de datos bancarios o la interceptación de pagos.
Este cambio en la conducta de los compradores es bien conocido por los estafadores que, en estos días se convierten en algo parecido a un experto en marketing agresivo y segmentan, diseñan, activan emociones y lanzan campañas con gran alcance y apariencia legítima. Tanto es así, que cada vez es más complicado detectar a tiempo estas estafas y, si el fraude va a menudeo puede llegar a confundirse con comisiones o gastos de aduana.
“Para estar preparados y alerta lo mejor es estar bien informado”, dice Hervé Lambert, Global Consumer Manager Operations de Panda Security, quien recuerda que las amenazas típicas que se suelen lanzar durante las rebajas son “el phishing promocional en forma de correos o SMS que imitan marcas reconocidas ofreciendo descuentos, o a través de enlaces que llevan a una web falsa para robar contraseñas, datos bancarios o instalar malware; anuncios falsos en redes sociales con publicidad que dirige a productos a precios sospechosamente bajos; malware disfrazado de apps de ofertas, que en realidad sustraen información, acceden a SMS, cámara, contactos, etcétera; web falsas clonadas de tiendas reales para robar pagos; e incluso fraudes en devoluciones o envíos con mensajes de seguimiento de pedido, problemas con el pago o reembolso disponible”.
En verano, además, “también hay que tener cuidado con las estafas en alquileres vacacionales”, advierte el directivo de Panda, “porque suelen pasar desapercibidos y llaman la atención con alojamientos muy baratos y llamativos, en ubicaciones ideales valiéndose de imágenes cuidadas y reales, para los que solicitan transferencias o depósitos que nunca se devuelven”.
Estafas en ambos sentidos
Y si los consumidores son más vulnerables en época de rebajas, no menos lo son los comercios que ven amenazados los momentos de mayores ventas por bots masivos, que saturan sus infraestructuras con multiplicación de tráfico web, ataques DDoS contra sus pasarelas de pago, sus sistemas ERP/CRM o proveedores críticos; con ransomware, que bloquean sus sistemas generando un importante impacto económico; cross-site scripting (XSS), que se usa para robar datos de clientes online; y phishing y fraude con tarjetas, que se intensifican durante las campañas comerciales.
Estos ataques les pueden salir muy caros a las compañías que los sufren. Que se lo pregunten a Infortisa, un mayorista valenciano de informática que en plena campaña Black Friday de noviembre de 2024 recibió un ataque que le obligó a desconectar servidores y equipos, comprometiendo información personal, fiscal y de cuentas bancarias de sus clientes. Un revés que se explica por varios motivos: aumento significativo del tráfico, infraestructuras más estresadas y menos protegidas, y mayor urgencia operativa y menor control “Muchas empresas durante estas campañas no escalan sus sistemas adecuadamente, lo que genera cuellos de botella, especialmente en servidores, pasarelas de pago y bases de datos que los ciberdelincuentes puede aprovechar, y algunas compañías, incluso, usan proveedores con menos estándares de ciberseguridad”, avisa Lambert. Para evitar caer en este tipo de trampas, “los comercios deben implementar protecciones anti-DDoS y firewalls inteligentes; escalar sus sistemas en la nube y asegurar sus APIs y plataformas; formar al personal en seguridad básica; contar con un plan de respuesta a incidentes que se actualice año a año; y usar soluciones de monitorización 24/7 para detectar actividad sospechosa”.
El ganga’s style
Los riesgos en materia de ciberseguridad son cada vez más frecuentes para el ecommerce y los compradores, porque cada vez estas tiendas lanzan más descuentos repartidos durante todo el año. Las rebajas se han diluido en un escenario más competitivo y esto lo saben los ciberdelincuentes. Ya no es extraño encontrarse con ofertas sorprendentes en cualquier momento aleatorio, y los cazadores de gangas pueden caer en la trampa.
Para evitar ser estafados hay que poner atención, sentido común y aplicar algunas medidas concretas de ciberhigiene. “A diferencia de las rebajas oficiales, estas campañas maliciosas simulan ofertas sorpresa, concursos, cupones o descuentazos fuera de temporada, lo que puede confundir al consumidor”, explica Lambert, “por eso, para protegernos contra posibles fraudes debemos actuar con cautela, ser desconfiados ante ofertas demasiado buenas para ser verdad, verificar siempre la URL antes de comprar atendiendo que la dirección de la página comience por https:// y el dominio sea oficial; no acceder nunca a las promociones a través de enlaces de SMS, Whatsapp o redes sociales; evitar pagar por transferencia o bizum a desconocidos; consultar las opiniones y reseñas antes de comprar; activar la autenticación en dos pasos; sospechar si nos piden demasiados datos personales; y nunca descargar apps desde enlaces no oficiales”.
Si no queremos hacer realidad aquello de lo barato sale caro actuemos con cabeza y sin dejarnos llevar por esa sensación de urgencia que nos embarga cuando nos gusta algo y lo queremos ya.