También es Black Friday para los ciberestafadores
Páginas web que no envían los productos que compramos, cheques regalo que esconden una estafa, supuestos pedidos bloqueados en aduanas... Los estafadores aprovechan la gran época de compras para engañarnos. ¿Cómo podemos prepararnos ante sus estafas?
“Enhorabuena. Has ganado un cheque por 150 euros para gastar en nuestra tienda online”. Este ofrecimiento solo puede despertar incredulidad fuera de contexto. Pero si se recibe en pleno fragor de la búsqueda de ofertas digitales por el Black Friday, donde cada español se gasta una media de 380 euros, según KPMG, quizá no le resulte tan raro. E incluso puede que se lance a por él, a pesar de que le piden 1,99 euros y sus datos personales para desbloquearlo. El cheque, cuyo logo suele replicar el de una marca conocida, nunca llegará.
Pululan por internet tiendas que toman el aspecto de grandes firmas para engatusar a los consumidores. Quien compra en ellas seguramente no recibirá lo que compró o no exactamente lo mismo, explica Martín Vigo, experto en ciberseguridad y fundador de la empresa Triskel Security. Y aunque las autoridades luchan para erradicarlas, no dejan de proliferar. En 2024 fue desmantelada una red que imitaba conocidas marcas de moda para robar datos personales y bancarios a 800.000 usuarios en Europa y Estados Unidos. Aquí van unos cuantos consejos para no convertirse en otro afectado más durante este Black Friday o las inminentes fiestas navideñas.
Una tienda con precios de escándalo, que busca tus datos
Quieres regalar a un amigo por su cumpleaños una tableta. Tecleas las características en el buscador y obtienes varios resultados. Uno de ellos te llama la atención porque muestra un precio increíble, mucho más bajo de lo que has visto en otras páginas web. Haces clic y se despliega una tienda en línea con todo tipo de productos de tecnología. ¿Será real?
Los estafadores crean páginas web que imitan a las de las grandes superficies comerciales, las cadenas de productos tecnológicos o de moda, o a las mastodónticas firmas online chinas. El objetivo es convencer al consumidor de que compre y quedarse con el importe, ya que nunca recibirás el producto. También aprovechan para obtener datos personales y bancarios del comprador.
Cómo identificar un mensaje fraudulento
Revisa la URL. Una web segura empieza por “https://”, no solo “http://”. La “s” indica conexión segura. Desconfía de dominios extraños como “.top”, “.xyz”, “.shop”, “.ru”. Las marcas legítimas suelen usar “.es” o “.com”
Desconfía de los precios ofertados por debajo el coste habitual y ofrecidos por tiempo limitado
Analiza el diseño y el contenido. Suele contener textos mal traducidos, fotos de baja calidad, logos pixelados, botones que no funcionan...
Busca los datos de la empresa, su información legal y su política de devoluciones. Si falta, desconfía
CÓMO PREVENIRLO
Busca en Google “Nombre de la tienda” + “estafa” o “opiniones”. Introduce la URL en páginas como scamadviser.com que mantienen un registro de las estafas. Las víctimas también suelen dar su testimonio en internet para avisar a otros compradores en plataformas como es.trustpilot.com
Comprueba la antigüedad del dominio. Si fue creado hace días o semanas, desconfía. Herramientas como whois.domaintools.com ofrecen información sobre su origen, como la fecha de creación de las páginas web.
Paga de forma segura. Existen varios métodos que ofrecen ciertas garantías en caso de dudas:
- Los pagos con tarjeta de crédito o débito (con autenticación reforzada) ofrecen garantías, como reclamar el cargo si no se recibe el producto. Este método requiere introducir la clave digital en la aplicación del banco al efectuar la compra y, en caso de un fraude, permite la devolución del dinero estafado a diferencia de las transacciones bancarias.
- Plataformas de pagos digitales reducen la exposición de tu tarjeta al no compartir el número completo con el comercio y permiten abrir una disputa y recuperar el dinero en caso de que no llegue el pedido (oo llegue algo distinto. Como desventaja, muchas tiendas pequeñas no aceptan estos métodos de pago.
- Las tarjetas de un solo uso se pueden cargar con el importe exacto de la compra y la mayoría de las entidades bancarias las emiten. En caso de robo de los datos de la tarjeta, los ladrones solo pueden robar la cantidad gastada.
- Bizum. Por este método, que cada vez más negocios aceptan, el pago queda registrado con los datos del negocio. A la hora de comprar en una tienda, el contacto para bizum ha de ser una tienda, nunca un particular.
El cheque regalo, un presente envenenado
Volvemos al caso que abría este artículo. Los estafadores difunden a través del correo electrónico, WhatsApp, redes sociales o anuncios en páginas web falsas ofertas en las que se hacen pasar por marcas conocidas por los consumidores, como tiendas online chinas, grandes superficies comerciales, supermercados o cadenas internacionales de moda. En esos mensajes ofrecen descuentos, regalos o ciertas cantidades de dinero para gastar en sus páginas web a cambio de introducir datos personales o abonar una pequeña cantidad de dinero.
Como identificar una tarjeta de regalo falsa
Texto mal redactado: con mayúsculas en sitios incorrectos, fallos de traducción
Son importes poco creíbles
Las firmas no ofrecen dinero a los consumidores. Lo habitual es un descuento en una compra. La media de descuentos en España se sitúa en el 17%, según Salesforce
Mensaje con un tono de urgencia: “Solo hoy”, “Últimas horas”...
CÓMO PREVENIRLO
Comprobar que llega desde la dirección legítima si se recibe por correo electrónico. Busca comunicaciones previas con la marca. Desconfía si proviene de dominios raros como “@promotions-free...”, “promo-gift@marca-bonos...” o llegan por dominios más comunes para particulares como “@gmail.com” o “@hotmail.com”.
Verifica el enlace. Lee la dirección completa y compárala con comunicaciones previas de la marca. Desconfía de subdominios o prefijos extraños como “promo”, “bonos” o “gifts” y de envíos desde dominios genéricos como “@gmail.com” o “@hotmail.com” cuando se trate de marcas conocidas. Revisa el enlace. Pasa el cursor sobre el enlace sin hacer clic para ver la URL, o mantén pulsado en el móvil. Si el dominio no coincide exactamente con la web oficial, o ves acortadores y cadenas de parámetros poco claras, no entres.
No compartas datos privados. Las promociones legítimas no piden números de tarjeta o cuenta, códigos de verificación, contraseñas, documento de identidad ni pagos de “gastos de envío” para recibir el regalo.
Confirma en la fuente oficial. Busca la promoción en la web o redes de la marca y comprueba que existan bases legales visibles en el propio cheque. Si no aparece, es muy probable que sea un fraude. Puedes revisar alertas en ontsi.es/es/alertas o incibe.es/alertas.
Contrasta en buscadores. Copia el texto del cheque entre comillas en Google junto a palabras como “estafa” o “phishing” y revisa resultados y fechas. Señales como urgencia, premios desproporcionados o faltas de ortografía refuerzan la sospecha.
“Su paquete está bloqueado”, una estafa común y efectiva
Recibes un SMS del servicio de paquetería que avisa de que el pedido está bloqueado en aduanas. Y solicitan con urgencia que se haga clic en un enlace para rellenar un formulario y desbloquearlo. Si este envío llega en épocas de compras como el Black Friday o Navidad es probable que llegue a personas que han realizado alguna compra por internet.
Los estafadores aprovechan la generalización de la venta online para enviar indiscriminadamente correos electrónicos, SMS o mensajes a través de sistemas de mensajería instantánea como WhatsApp. En ellos se hacen pasar por empresas de transportes. Su objetivo es obtener datos o dinero de sus víctimas, una técnica que se conoce como phishing.
Cuando llega por correo electrónico, imita el aspecto de una compañía logística familiar para el consumidor; y contiene un texto en el que se apremia a la víctima a realizar una acción con urgencia del estilo “el pedido está bloqueado por falta de información, agrégala en el siguiente enlace” o “para desbloquear el paquete es necesario pagar 2,99 euros de tasas de aduanas”. Y proporcionan un enlace en el que clicar. De esta manera, obtienen datos personales, bancarios o una pequeña cantidad.
Cómo identificar un mensaje fraudulento
En un correo electrónico
Reparar en la dirección de correo, suele ser parecida pero no exacta a la oficial
Sospechar de errores ortográficos o saludos genéricos como “Estimado cliente”. El uso de la inteligencia artificial está mejorando la redacción y la similitud a los canales legítimos
Antes de ciclar en un enlace, contacta con la empresa de transportes por otra vía o a través de la tienda donde se compró
En un SMS
El SMS se ubica en el hilo oficial de la compañía de transportes
Fijarse en la URL, suele ser parecida pero no exacta a la oficial
CÓMO PREVENIRLO
Pensar antes de hacer clic o responder a mensajes que piden información personal. Nunca se deben enviar contraseñas o datos bancarios por correo electrónico. Las empresas de transporte no solicitan credenciales por estos medios. Una forma de detectar si es legítimo es pasar el cursor sobre el enlace (sin hacer clic) para ver la URL y contrastarla con la oficial.
Riesgo de descargar ‘malware’. Hay casos en los que al clicar en el enlace fraudulento se descarga un malware, es decir, un programa espía que capta pantallas, cámara, micrófono o pulsaciones del teclado. Si sospechas infección, desconéctate de internet o activa el modo avión, evita abrir apps sensibles y analiza el dispositivo con un antivirus actualizado. Si no tienes uno, instala un producto de confianza. Cambia las contraseñas críticas desde otro dispositivo y valora restaurar el móvil si persisten indicios.
Se puede instalar uno previamente. En caso de no disponer de uno, lo mejor es modificar las contraseñas importantes desde otro dispositivo.
Busca otra vía legítima para contactar con la empresa. Entra manualmente en la web oficial tecleando la dirección o usa la app oficial. Si necesitas contacto, busca el teléfono de atención al cliente en un buscador y verifica que pertenece al sitio auténtico. Accede a tu área de cliente y comprueba el estado del pedido con el código facilitado por la empresa.
¿Y si ya se ha clicado? Se deben cerrar todas las ventanas y en caso de detectar que se haya descargado algún archivo, revisar la carpeta de ‘Descargas’. Si se localiza un archivo sospechoso, no lo abras y elimínalo de inmediato. Si se introdujeron datos privados, como contraseñas, conviene cambiarlas en ese momento. Si se han proporcionado datos bancarios, se debe notificar al bando y proceder a la cancelación de las tarjetas.
El banco te ayuda a identificar las amenazas
Un usuario concienciado está mejor preparado para no caer en una estafa digital, especialmente cuando lo que está en juego es su dinero. Banco Santander ofrece a sus usuarios y a la ciudadanía en general recursos en forma de campañas de concienciación centradas en aspectos clave de la seguridad digital como la creación de contraseñas robustas, entre otras. También publican a través de su página web oficial artículos con recomendaciones prácticas para disfrutar con confianza de la vida en línea.
Si alguna comunicación por parte del banco genera dudas, Santander ofrece canales oficiales para resolverlas: los SMS sospechosos se pueden enviar al 638 444 542; los correos dudosos, a phishing@gruposantander.es.También se pueden realizar consultas sobre estos temas en la superlínea (915 123 123), en las propias oficinas, o desde el Centro de Ayuda de la aplicación o la banca online, disponible 24 horas.
Banco Santander dispone de un canal de WhatsApp directo para clientes. Una comunidad a la que se pueden unir para recibir ciberconsejos, novedades y alertas sobre este tipo de estafas y pautas para identificar mensajes sospechosos.
‘Seguridad día a día’ también en SER
Ofertas demasiado suculentas