En época de Rebajas sube el volumen de compras y también el de ataques oportunistas. Los riesgos ‘estrella’ suelen repetirse cada año. Ahora, además, se ven más campañas muy creíbles impulsadas por anuncios en redes sociales y contenidos generados por la inteligencia artificial. Saber reconocerlos y contar con las herramientas básicas para evitarlos es la mejor manera de esquivar estos engaños.
Ruido y prisa en temporada de Rebajas
En Rebajas se conjugan la saturación de mensajes y promociones. Además, de la sensación de urgencia, de querer llegar antes que nadie para aprovechar ese jugoso descuento. En pocos días, recibimos una avalancha de estímulos a través de newsletters, anuncios, alertas de apps, SMS de envíos… Que normalizamos, y con la que convivimos de manera natural.
El problema es que durante estos días de locura consumista bajamos la guardia. Nos familiarizamos tanto con los enlaces y confiamos en que los mensajes que recibimos encajan con lo que estamos viviendo, que actuamos casi con el piloto automático puesto. Y ahí es donde los ciberdelincuentes encuentran su mejor oportunidad.
Es el mejor caldo de cultivo para las campañas masivas de fraude, que no funcionan porque sean nuevas, ni mucho menos, sino porque son oportunistas. “El engaño se mimetiza con el entorno, copia el lenguaje de las marcas y explota exactamente las mismas emociones que impulsa la compra compulsiva”, advierte Hervé Lambert, Global Consumer Operation Manager de Panda Security, quien, subraya algo que deberíamos recordar siempre: “cuando todo parece legítimo, detectar lo falso se vuelve mucho más difícil”.
Por eso mismo, cada temporada nueva de Rebajas se convierte en un momento de éxito para el phishing, las tiendas online falsas o los SMS de supuestos problemas con los pedidos. “No hablamos de amenazas sofisticadas”, recuerda Lambert, “sino de engaños bien sincronizados con los hábitos de consumo de millones de personas”.
Los fraudes más comunes en temporada de Rebajas
Así, “y porque conviene tener muy presentes los engaños antes de hacer clic o sacar las tarjetas de crédito”, dice el directivo de Panda Security, “esta es la lista con los principales fraudes que se repiten cada año en época de Rebajas”.
Ofertas imposibles
¿Quién no se ha topado alguna vez, mientras hace scroll en redes sociales, con anuncios que prometen descuentos espectaculares de hasta el 90% en productos de alta demanda, supuestamente disponibles solo por tiempo limitado y exclusivamente online? Este tipo de “chollos” se multiplica en periodos como el Black Friday o las Rebajas y apela directamente a la urgencia y al miedo a quedarse fuera.
Durante el Black Friday del año pasado, expertos en ciberseguridad detectaron un aumento significativo de falsas ofertas tecnológicas. Como supuestos iPhone 17 a precios irrisorios, que circulaban a través de enlaces fraudulentos ajenos a los canales oficiales. La Guardia Civil llegó a alertar de que se trataba de una estafa recurrente de temporada, diseñada para atraer a las víctimas con descuentos imposibles y empujarlas a comprar sin verificar la legitimidad del vendedor.
“El objetivo de este tipo de engaño es romper cualquier análisis racional”, explica Lambert. Un descuento exagerado activa dos palancas muy potentes en nuestro cerebro, la urgencia y la codicia inocente. “A partir de ahí, los delincuentes buscan que el usuario haga clic en un enlace fraudulento, que introduzca sus datos personales o bancarios en una web falsa, o que pague por un producto que nunca llegará”.
Para evitar caer en este tipo de trampas, “la regla de oro es desconfiar”, asegura Lambert. “Si el descuento no es creíble, la oferta tampoco lo es”. En la práctica, “conviene desconfiar de rebajas extremas en productos muy demandados o recién lanzados, no acceder a ofertas desde anuncios o enlaces recibidos por mensaje. Además, de verificar siempre quién vende el producto y recordar que las grandes marcas no necesitan aplicar descuentos imposibles para vender”.
Tiendas online falsas o de reciente creación.
En la pasada campaña del Black Friday se detectaron más de 2.000 falsas tiendas temáticas, incluyendo imitaciones tipo ‘Amazon looklike’ y redes de dominios .shop con kits reutilizables. “Las fake shops ya no son páginas cutres llenas de fallos”, avisa Lambert. En Rebajas, “vemos tiendas falsas cada vez más pulidas, con el mismo diseño que un ecommerce real, con fotos de producto, banners, opiniones, carrito, chat de atención al cliente e incluso sellos de confianza”.
En periodos de alto consumo “se registra un aumento de dominios oportunistas. Estos proliferan con la intención de cobrar por algo que no existe y que nunca llega. Además de robar datos de pago, credenciales o monetizarlos con phishing de soporte”, dice el directivo de Panda Security.
Una tienda falsa es una máquina de captación de dinero y datos diseñada para aprovechar el contexto de compras masivas. “Y la mejor protección es la higiene digital, que se puede conseguir asumiendo hábitos como entrando siempre en la aplicación o web oficial de la tienda que, supuestamente, está enviando esos anuncios por redes. También, mirar el dominio y no el logo de las webs de forma detallada, porque los clones suelen tener dominios muy parecidos a los originales.
Además hay que buscar quién está detrás (datos legales, direcciones, CIF/NIF, condiciones de devolución y contacto real). Y si algo falta o es demasiado genérico hay que sospechar. Hay que desconfiar de chollos fuera de mercado. O si el precio es demasiado bueno como para ser cierto, pagar con métodos que primen la protección del comprador. Evitando transferencias o pagos directos si no se conoce al vendedor y estar atentos a las señales técnicas rápidas”.
Phishing por correo con ‘rebajas exclusivas’
En Rebajas, el correo electrónico se convierte en el mejor campo de caza del fraude. “Es el canal perfecto”, dice Lambert, “para colarse en la rutina del consumidor. A través de newsletters, confirmaciones de pedidos, avisos de transporte, recibos… Mucho ruido que permite que mensajes tipo ‘descuento VIP’ o ‘problemas con tu envío’ parezcan legítimos”.
El gancho es sencillo: “te prometen una ventaja, en este caso una rebaja especial, y te meten prisa para que hagas clic sin revisar”. Avisa el experto, quien, señala que “cuando pinchas, el correo te lleva a una web clonada en la que te piden iniciar sesión o introducir datos de pago”. Con esto, los delincuentes persiguen dos objetivos, “robar credenciales para secuestrar cuentas del usuario en tiendas, servicios de pago o incluso el email. Que es la llave maestra para resetear contraseñas de todo lo demás. Y, capturar datos de pago en un falso checkout o en una pantalla que simula un reembolso o verificación de tarjeta”, indica Lambert.
Para evitar este tipo de fraude, “sin volverse paranoico”, subraya el experto. “Es importante no caer en la tentación de entrar en una oferta desde el mail, recelar del carácter de urgencia del descuento, revisar el remitente y el dominio y activar 2F2 en el correo y en las cuentas de compra”.
Smishing
SMS de ofertas o de supuestos problemas con envíos. Si el phishing juega con la legitimidad de los correos electrónicos, el smishing va directo al móvil. “Es una de las estafas que mejor funcionan en época de Rebajas, porque encaja perfectamente con lo que el consumidor espera recibir estos días”. Explica Lambert, “que no es otra cosa”, continua, “que mensaje sobre pedidos, entregas, pagos o incidencias”.
El smishing juega con dos emociones muy básicas, la urgencia y el miedo. “Los atacantes saben que, si consiguen que el usuario actúe rápido, es mucho más probable que haga clic sin comprobar el remitente o el enlace; meta datos bancarios o personales en una web falsa. Y, facilite códigos de verificación o credenciales que permitan tomar el control de cuentas”.
A diferencia de otros engaños, “aquí no necesitan grandes cantidades por víctima, sino muchos pagos pequeños o datos reutilizables para otros fraudes posteriores”. Cuenta el directivo de Panda Security.
“La clave para evitarlo es romper el automatismo”, dice Lambert. “No pinchar nunca enlaces en SMS relacionados con pagos o entregas, desconfiar de mensajes genéricos que no identifiquen claramente el pedido ni al remitente, sospechar de cualquier SMS que pida pagos, datos bancarios o códigos de enlace. Y, recordar que bancos, comercios y empresas de mensajería no solicitan datos sensibles por SMS”.
Anuncios fraudulentos en RRSS
Las redes sociales se han convertido en uno de los principales escaparates del fraude digital durante las Rebajas. “Porque estas plataformas combinan tres elementos muy atractivos para los delincuentes: alcance masivo, segmentación precisa y apariencia de legitimidad”, sostiene Lambert. Si el anuncio aparece integrado en el feed, muchos usuarios asumen automáticamente que es fiable.
El mecanismo no puede ser más sencillo. “El usuario ve un anuncio supuestamente patrocinado que ofrece una rebaja exclusiva, un producto viral o un precio muy por debajo del mercado”, explica el experto. “El diseño está cuidado y hay comentarios falsos de otros compradores”. Continúa,“por lo que no parece sospechoso de fraude”. Sin embargo, al hacer clic, el anuncio redirige a una web clonada o a un vendedor inexistente.
Además, “el creciente uso de herramientas de IA para generar imágenes, vídeos y textos publicitarios permite crear anuncios que imitan el estilo visual de marcas conocidas e incitan a caer aún más en el engaño”. “El objetivo principal es acelerar la decisión de compra para que el usuario compre sin verificar quién está detrás del anuncio, capturar datos de pago o cobrar por productos que no existen. Además, de aprovechar la ausencia de relación previa entre comprador y vendedor. Y, esto funciona porque en estas fechas el usuario está predispuesto a encontrar chollos”.
Para evitarlos “tenemos que grabarnos en la mente que en Rebajas el anuncio más atractivo no tiene que ser la mejor oportunidad. Además, hay que desconfiar de aquellos que ofrecen desuentazos, comprobar siempre el perfil del anunciante y evitar comprar directamente desde el anuncio”.
Suplantación de atención al cliente
En temporada de rebajas y descuentos, los canales de atención al cliente echan humo. “Incidencias con pedidos, cambios, devoluciones, cargos duplicados… Es el mejor momento para que los delincuentes se hagan pasar por servicios de soporte de comercios o de bancos”. Advierte Lambert.
El contacto puede llegar por llamada telefónica, WhatsApp, SMS o correo electrónico, y suele presentarse como una ayuda. “Hemos detectado un problema con tu compra”, “necesitamos verificar un pago”, “tu cuenta podría estar comprometida”. El lenguaje es calmado, profesional y, en muchos casos, muy convincente.
En este caso no se trata de campañas masivas sin más. “Informes de seguridad indican que esta técnica aumenta de forma clara en temporadas de compras intensas. Esto es porque el usuario espera más interacciones con soporte y baja el nivel de sospecha”. Apunta el directivo de Panda Security. “Por lo que un mensaje de este tipo en Rebajas no despierta sospechas”.
Lo que persiguen los delincuentes con este tipo de engaño es que la víctima entregue información sensible voluntariamente. “Códigos de verificación SMS u OTP, contraseñas o datos de acceso e información bancaria para validar una supuesta operación”. Una vez obtienen esos datos, pueden tomar control de cuentas, realizar compras o preparar fraudes posteriores.
Pasarelas de pago falsas
Ésta es otra de las estafas más sofisticadas en esta época del año. Funciona, además, porque juega con algo tan cotidiano como son las pasarelas de pago. El usuario llega a una web aparentemente legítima y, al finalizar la compra, se abre una ventana de pago que imita a la perfección un sistema conocido: diseño, colores, textos legales, incluso logotipos de bancos o servicios de pago digital. Todo parece normal… salvo que esa pasarela no procesa el pago, captura los datos.
“Los informes de amenazas coinciden en que este tipo de fraude financiero se dispara durante eventos de ventas masivas, cuando el volumen de transacciones es tan alto que los usuarios no revisan cada detalle del proceso de pago”. Indica Lambert.
Aquí, el botín son los datos de la tarjeta. “Con los que luego pueden realizar cargos fraudulentos, vender información en mercados ilícitos y usarla en otras estafas más elaboradas”. Para evitar caer en esta estafa, “hay que entender que realizar un pago y meter los datos de la tarjeta es algo que hay que hacer con los cinco sentidos puestos y no de forma automática”, avisa Lambert. “Esto es, desconfiar si el pago parece raro o diferente de lo habitual, fijarse bien en la URL antes de introducir los datos, no dejarse engañar sólo con el candado. Además de priorizar métodos de pago con protección al comprador y evitar pagar desde enlaces recibidos”.
Fraudes con pagos online o transferencias para reservar
Este engaño juega con una idea muy simple: sacar al usuario de los sistemas que le protegen. El delincuente ofrece una supuesta oportunidad, pero pone la condición de pagar fuera de la plataforma oficial. El mensaje suele ser algo parecido a ‘para reservarlo tienes que hacer un pago online’, ‘es más rápido por transferencia’ o ‘así evitamos comisiones’. “En realidad, lo que se está haciendo es eliminar cualquier posibilidad de reclamación”, desvela Lambert.
Este patrón aparece con frecuencia en marketplaces, grupos de redes sociales o anuncios de productos muy demandados. Y, aunque no siempre llega a los grandes titulares, es recurrente en guías de prevención. Lo que buscan los delincuentes es que el dinero desaparezca sin dejar rastro.
Rebajas que esconden falsificaciones
No todas las estafas terminan en un pago perdido. Algunas llegan en forma de paquete… pero no con lo prometido. En Rebajas proliferan productos “de marca” con precios muy por debajo del mercado que esconden falsificaciones o artículos de calidad ínfima.
“Las webs están bien construidas, con fotos cuidadas, descripciones detalladas y mensajes de liquidación”. Explica Lambert, que avisa de que “el problema llega después, cuando el producto no se parece al anunciado, no cumple estándares o, directamente, no llega nunca”.
Organizaciones empresariales y asociaciones de comercio han alertado en distintas campañas de rebajas sobre este patrón. Este se repite cuando la urgencia y el volumen de compras reducen la atención del consumidor. “Y busca cobrar por productos falsos o de baja calidad”.
Aprovechamiento de contraseñas reutilizadas
Este fraude no empieza en Rebajas, pero se explota especialmente durante ellas. Los delincuentes utilizan listas de usuarios y contraseñas filtradas en brechas anteriores y las prueban de forma automática en tiendas online. “Es lo que se conoce como credential stuffing”, recuerda Lambert.
En periodos de alta actividad comercial, los ataques se intensifican porque hay más cuentas activas y más métodos de pago guardados. “Y varios informes señalan que este tipo de fraude se intensifica en esta época y hay más accesos a cuentas ya existentes para comprar productos con tarjetas guardadas, cambiar direcciones de envío o revender cuentas comprometidas”.
Estas son sólo 10 de las principales estafas que se suelen dar en época de compras compulsivas. “Pero, en el fondo, no son nuevas ni desconocidas”, dice Lambert. Lo que pasa es que en Rebajas se presta menos atención y se baja la guardia. Ruido y prisas. Todo se reduce a eso…