Cada día, nuestra bandeja de entrada se llena con decenas de correos electrónicos, muchos de los cuales son intentos de fraude. Entre los más habituales se encuentran los mensajes que afirman que hemos ganado un premio suculento, aunque nunca hayamos participado en ningún sorteo, o simplemente informan de una recompensa inesperada por nuestra fidelidad a una marca a cambio de rellenar una pequeña encuesta.
Estos correos suelen incluir logotipos, nombres reconocidos y enlaces aparentemente oficiales, pero su única finalidad es suplantar a una entidad legítima para robar nuestros datos personales y bancarios y venderlos a terceros para ser utilizados en campañas de spam. O, en el peor de los casos, utilizarlos para realizar pagos con nuestra tarjeta de crédito o débito.
Estos mensajes están diseñados para aprovechar las emociones de los usuarios, incitándoles a hacer clic en enlaces o proporcionar información personal para reclamar el supuesto premio. Ante estas situaciones, hay que ser realista: es muy difícil que puedas ganar un coche o un teléfono móvil de última generación por un sorteo o por rellenar una encuesta.
Cómo funcionan estos fraudes
Estos fraudes comparten el mismo patrón: los usuarios reciben un correo donde se les notifica que han sido elegidos para recibir un premio exclusivo bajo cualquier pretexto. Para solicitar el regalo, sólo hay que hacer clic en el enlace que aparece en el correo electrónico. Sin embargo, al hacer clic en el enlace, se le redirige a una página web que imita a la oficial de la marca: colores corporativos, logos o tipografías, detalles que refuerzan la autenticidad de la supuesta promoción. Además, se informa al usuario que las recompensas son limitadas, en cuanto a número y tiempo, y que, si se quiere obtener el premio, se debe reclamar de inmediato.
“Los ciberdelincuentes utilizan ventanas emergentes para crear urgencia, pidiéndote realizar acciones rápidas como hacer clic en enlaces o proporcionar información”, señalan desde AdGuard. Sin embargo, las empresas legítimas “rara vez utilizan un lenguaje tan alarmante, especialmente sin previo aviso”, puntualizan.
Así, para obtener el premio, los usuarios tienen que responder a una encuesta sobre su experiencia de cliente en relación a la marca. Tras completarla, son dirigidos a un formulario donde deben introducir sus datos personales y bancarios, puesto que para que puedan recibir el premio, tienen que pagar una pequeña cantidad de dinero correspondiente a los gastos de envío. Ahí es donde está fraude.
Para abonar esos gastos, los usuarios son redirigidos a una presunta plataforma de pago, donde se les solicita su correo electrónico y contraseña. No obstante, durante el proceso se les informa de que éste no ha podido completarse, porque la tarjeta del premiado ha sido rechazada. Los ciberdelincuentes ya tienen todos los datos que necesitaban.
¿Cómo saber si es un correo electrónico legítimo?
Antes de participar en cualquier tipo de promoción online, lo primero que debemos hacer es comprobar quién está detrás acudiendo directamente a los canales oficiales de la marca organizadora, como su web o redes sociales, para confirmar la legitimidad de la promoción y si esta sigue vigente. La Oficina de Seguridad del Internauta (OSI), que pertenece al Instituto Nacional de Ciberseguridad (INCIBE), explica que “si una marca concreta lanza un concurso, lo habitual es que hayan creado una campaña de marketing para publicarlo en su web o canales de redes sociales”.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) señalan que, antes de reclamar la recompensa, es esencial revisar las bases legales del concurso. “Las bases legales deben estar presentes en cualquier promoción online, ya que te dan información sumamente importante como: el organizador del sorteo y como contactar con la marca, que tipo de usuarios pueden participar, el premio, los requisitos de participación, política de privacidad…”, advierten desde EasyPromos, una plataforma online para crear y gestionar concursos. Para evitar estos fraudes, aconseja a los usuarios “que solo participen en aquellas promociones en las que los organizadores puedan garantizar una selección de ganadores transparente y justificada”.
Chequear las URLs para identificar si estamos en páginas seguras ―que siempre comienzan por https y muestran un candado de seguridad― es fundamental. Por ejemplo, un sitio web legítimo podría ser «banco.com», mientras que un sitio de phishing podría ser «banco-seguro.com”. Ante cualquier duda, conviene realizar una búsqueda para comparar la dirección con resultados fiables y buscar posibles alertas o analizar los enlaces con herramientas como VirusTotal. “Evita hacer clic en un enlace sospechoso que te parece extraño o inesperado”, recuerdan desde AdGuard.
Otra forma que ayuda a detectar estos falsos premios es analizar los comentarios de otros usuarios. “Pararse a leer los comentarios de otros usuarios nos ayudará a identificar posibles fraudes o engaños. Muchos usuarios escriben sus experiencias en Internet y, si han sido víctimas, lo publicarán para evitar que otros caigan en el mismo engaño”, explican desde INCIBE.
Además, es conveniente buscar errores ortográficos o gramaticales, así como contrastar la calidad y procedencia de las imágenes mediante búsquedas inversas, por ejemplo, con la herramienta de Google Imágenes, ya que los estafadores suelen emplear contenidos mal redactados, imágenes de baja resolución o imitaciones de otros concursos detectados anteriormente. Vigilar los mensajes excesivamente persuasivos o emocionales también nos ayuda a descubrir fraudes.
¿Cómo podemos protegernos?
Si sospechas que has sido víctima de una promoción falsa, lo más importante es recopilar todas las pruebas posibles como correos electrónicos, capturas de pantalla y detalles del concurso para poder denunciar la estafa. Los datos que consiguen los estafadores pueden terminar utilizados para campañas de spam o publicidad no solicitada, así que conviene estar atento a nuevas notificaciones sospechosas, evitando darles continuidad o caer en nuevos fraudes.
INCIBE destaca que es posible denunciar este tipo de promociones falsas directamente en la plataforma donde estén alojadas; casi todas las redes sociales permiten reportar fácilmente las publicaciones o cuentas fraudulentas, y si la denuncia es respaldada por otros usuarios, la plataforma podrá bloquear el contenido o la cuenta implicada.
También es recomendable presentar el caso ante autoridades de consumo, la policía o entidades especializadas como INCIBE para ayudar a detener la circulación de estos engaños por Internet y proteger así del fraude a otros usuarios.
Fuentes y herramientas
Oficina de Seguridad del Internauta (OSI)
Instituto Nacional de Ciberseguridad (INCIBE)
Herramienta de búsqueda inversa de imágenes de Google
Herramienta VirusTotal
Plataforma EasyPromos