“Repsol. Felicidades! Eres un ganador de un iPad Pro. Ha sido seleccionado como uno de los pocos afortunados para tener una oportunidad única de ganar un iPad Pro” (sic). Si has recibido un correo electrónico como este, supuestamente enviado por la empresa energética española, elimínalo cuanto antes de tu bandeja de entrada. Se trata de un nuevo caso de phishing en el que los ciberdelincuentes han suplantado a la compañía. Su objetivo: hacerse con los datos personales y bancarios de las potenciales víctimas.
De hecho, desde INFOVERITAS ya alertamos de un intento de fraude similar. Los ciberdelincuentes suplantaron a Repsol, con otro gancho pero con el mismo premio, para estafar a los incautos. Además, el phishing no es el único modus operandi con el que la compañía ha sufrido ataques. Antonio Bufrau, su presidente, fue también suplantado, en una supuesta entrevista en El Mundo, para promocionar “oportunidades de inversión”.
Cuidado si recibes un correo de Repsol en el que te regalan un iPad Pro a cambio de contestar una encuesta, es phishing
La primera pista que debe hacer saltar las alarmas de intento de estafa de los usuarios es que Repsol es una empresa energética. Es decir, no comercializa ningún tipo de producto tangible, como, en este caso, un iPad Pro.
En segundo lugar, que el cuerpo del mensaje redirige a una web cuya URL (https://thermalmidships.fun/?encoded_value=223GDT1&sub1=1d9fcb89068242a7b93ffdf4896a83ec&sub2=&sub3=&sub4=&sub5=17769&source_id=20121&ip=83.38.65.255&domain=www.backtonextpage.com) no guarda relación con la oficial de Carrefour: https://www.repsol.com/es/index.cshtml.
Dicha web deriva a la supuesta encuesta, pero antes se puede leer el siguiente mensaje: “Estimado comprador de Repsol, Nos gustaría ofrecerle una oportunidad única de recibir un iPad Pro! Para reclamar, simplemente responde esta breve encuesta sobre tu experiencia con Repsol. Atención! Esta oferta de encuesta vence hoy, Agosto 28, 2024” (sic). Esta es otra pista de que se trata de un caso de phishing, ya que, como aclaran desde el Instituto Nacional de Ciberseguridad (INCIBE), el apremio a los usuarios para que realicen una acción y los errores ortográficos y gramaticales son indicativos de estafa.
Tras completar la encuesta, que consta de diez preguntas, la web fraudulenta redirige a otra pantalla en la que se insta a las potenciales víctimas a reclamar su premio. Tras esto, una nueva web emerge para que los usuarios introduzcan sus datos personales. Por otro lado, ahora el precio iPad Pro ha cambiado a 2 euros, ya no es gratuito, como anunciaban en la página anterior.
Más pistas de que se trata de una estafa
Además de las anteriormente mencionadas, cabe destacar que, en la pantalla inicial de la web fraudulenta, en la parte inferior, aparece este mensaje: “Este sitio web no está afiliado ni respaldado por Repsol ni ninguna marca similar y no pretende representar ni poseer ninguna de las marcas comerciales, nombres comerciales o derechos asociados con cualquiera de los productos que son propiedad de sus respectivos dueños, quienes no son propietarios, respaldar o promocionar este sitio web”. Esto también señala el carácter fraudulento de la oferta.
De hecho, la web de Repsol tiene un apartado específicamente dedicado a avisar de los distintos tipos de fraude más habituales que suplantan a la compañía. En esta página destacan que no es común “que se soliciten datos personales a nuestros proveedores y clientes por correo electrónico o llamadas telefónicas. Si recibes una solicitud de dichas características que pueda resultar sospechosa, debes contactar con tu interlocutor habitual en Repsol” o mediante un formulario de contacto.
Recomendaciones para evitar caer en promociones fraudulentas
INCIBE advierte sobre la desconfianza que se debe tener frente a ofertas promocionales que proponen productos a precios muy bajos o que “regalan” algún obsequio, ya que suelen ser estrategias para obtener información personal y dinero de las víctimas.
En estos casos, lo más prudente es ignorar tales correos electrónicos y eliminarlos de la bandeja de entrada cuanto antes. Además, el organismo destaca la necesidad de verificar la legitimidad de estas ofertas antes de proporcionar datos personales, recomendando contactar directamente a la empresa a través de sus canales oficiales o consultar entidades especializadas en ciberseguridad como INCIBE. También sugieren revisar regularmente los avisos de su página web. Otra opción es mantenerse informado en el apartado de Ciberseguridad de INFOVERITAS, donde alertamos sobre este tipo de estafas con frecuencia.
Fuentes
Instituto Nacional de Ciberseguridad (INCIBE)
Apartado de alerta de fraudes en la web de Repsol