Mientras millones de usuarios buscan las mejores rebajas del Black Friday, los ciberdelincuentes también esperan esta fecha con ansias y anticipación, aunque no por la oportunidad de conseguir un televisor o una elegante chaqueta en descuento. Y es que estas fechas presentan las condiciones perfectas para sus actividades ilegales como el phishing, al generar al mezclar un tráfico elevado en sitios comerciales con aluviones de mensajes promocionales y la premura de los usuarios por captar aquella oferta única.

“Son los eventos más esperados por los ciberdelincuentes, ya que tienen la mayor ventana de oportunidad para maximizar ganancias”, afirma en conversación con El Comercio Leandro Cuozzo, analista de seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky. La razón es simple: en medio de esta avalancha de promociones, los usuarios bajan la guardia y se vuelve mucho más difícil distinguir una oferta legítima de un engaño.

Según el Panorama de Amenazas de Kaspersky, Perú registró más de 110 millones de ataques de phishing en el último año, lo que significó un promedio de 302 mil al día. La técnica sigue siendo una de las más rentables del cibercrimen: 31% de los usuarios afectados en la región perdió entre 100 y 500 dólares en fraudes relacionados con compras en línea. Es por eso que para resguardar nuestros datos (y billeteras) te presentamos esta nota con recomendaciones para comprar seguramente este Black Friday y en las otras fiestas de fin de año.

Es así que durante este tipo de festividades aumenta notablemente la proliferación de sitios web maliciosos que imitan tiendas reconocidas para atrapar incautos, mientras que en redes sociales perfiles recién creados prometen increíbles “descuentos exclusivos” si es que ingresas inmediatamente. También ocurre que nuestros correos y otros servicios de mensajería reciben supuestos avisos de bancos, comercios o servicios de envío que te exigen realizar un ‘trámite’ para restaurar un servicio o recuperar un paquete extraviado.

“Juegan con las emociones de las personas al decirte ‘apurate porque tu pedido no llegará, tu cuenta será eliminada o la oferta termina en minutos’”, señala el experto. “Cuando te piden hacer clic o compartir información, siempre es una señal alarma”

Una vez que el usuario accede, el siguiente paso suele ser una página falsa. Algunas replican al detalle el diseño, los colores y los logos de marcas conocidas. Incluso la dirección URL puede ser engañosa, al ser extremadamente similar a la original.

“Los atacantes registran dominios casi idénticos. Incluso usan alfabetos como el cirílico, donde las letras parecen iguales, pero no lo son. A simple vista, el sitio parece legítimo”, explica Cuozzo.

El avance de las tecnologías IA ha amplificado el problema, al permitirle a los cibercriminales reducir costos y tiempo para crear sitios web idénticos a los verdaderos y lanzar campañas masivas. “Hoy cualquier grupo con pocos recursos puede enviar miles de correos y crear sitios casi iguales a los originales con un par de clics”, señala el experto. “Adicionalmente la inteligencia artificial aumenta la calidad del engaño y lo internacionaliza, con los mensajes maliciosos ya no pareciendo escritos por alguien que no habla español, sino que utilizan jergas locales y se adaptan a cada país. Incluso agregan ‘deepfakes’ para hacer más complejos sus engaños.

Los resultados son espeluznantes y según datos de Kaspersky, 65% de los peruanos no identifica un sitio falso y termina interactuando con él, usualmente con resultados nefastos. Y es que si un incauto ingresa información personal, credenciales o números de tarjetas, lo más probable es que estas sean utilizadas para realizar compras fraudulentas o que terminen vendiéndose en el mercado negro. En el Perú, alrededor de un 30% de los usuarios ya sufrió fraude con cuentas o tarjetas bancarias.

Prevenir para no lamentar

En plena temporada de compras, el primer filtro es el propio usuario. Cuozzo recomienda no dejarse llevar por el impulso y aplicar una verificación básica:

Analizar el mensaje: si la oferta parece demasiado buena para ser cierta, probablemente lo sea. También revisa que no haya faltas ortográficas o textos extraños, imágenes borrosas o más detalles sospechosos.

si la oferta parece demasiado buena para ser cierta, probablemente lo sea. También revisa que no haya faltas ortográficas o textos extraños, imágenes borrosas o más detalles sospechosos. Revisar el remitente: un correo o perfil sospechoso es la primera señal. Si se trata de un vendedor, ¿tiene ventas verificadas? ¿Cuánto tiempo tiene su perfil? Si dice ser por parte de una empresa, el dominio de su correo es el apropiado o se trata de un Gmail u otro servicio de correo público.

un correo o perfil sospechoso es la primera señal. Si se trata de un vendedor, ¿tiene ventas verificadas? ¿Cuánto tiempo tiene su perfil? Si dice ser por parte de una empresa, el dominio de su correo es el apropiado o se trata de un Gmail u otro servicio de correo público. Confirmar en la web oficial: Revisa que el sitio tenga protocolo https y certificado válido. “Si tienes dudas, entra manualmente a www.latiendaqueconoces.com. No siempre te confíes de los resultados de Google, porque los atacantes compran publicidad para posicionar sitios falsos.

Revisa que el sitio tenga protocolo y certificado válido. “Si tienes dudas, entra manualmente a www.latiendaqueconoces.com. No siempre te confíes de los resultados de Google, porque los atacantes compran publicidad para posicionar sitios falsos. Desconfiar de solicitudes de datos: No ingreses información sensible en páginas o apps dudosas y unca compartas contraseñas o datos bancarios por mensaje o correo. “Las promociones legítimas no incluyen pedidos de información personal por mensaje o correo”, recordó el experto.

Con respecto al malware, el especialista aclara que es difícil infectarse solo por entrar a un sitio, pero sí ocurre cuando la víctima descarga y ejecuta archivos que prometen facturas, comprobantes o supuestas actualizaciones.

De todos modos, el experto recomienda siempre realizar cualquier compra o trámite en línea utilizando un dispositivo seguro que cuente con un sistema operativo y antivirus actualizado y siempre evitando las redes de Wi-Fi públicas.

¿Qué hacer si ya caí en un fraude?

En caso hayas caído en una trampa, es necesario que actúes rápida y decisivamente. Aquí algunas recomendaciones