10 preguntas clave a un experto en ciberseguridad para evitar las ciberestafas este Black Friday

El Black Friday —que este año cae el viernes 28 de noviembre, aunque se extiende a varias semanas— es la época perfecta para renovar tus dispositivos tecnológicos, puesto que se quedan a un precio mucho más bajo. Sin embargo, también es uno de los periodos donde más hay que tener cuidado con las ciberestafas, ya que muchos delincuentes camuflan sus fraudes en webs fraudulentas o correos falsos.

¿Qué fraudes son los más comunes?, ¿de qué forma podemos detectar los fraudes de Black Friday?, ¿cuáles son las mejores formas de protegerse?, ¿cómo usan la IA los ciberdelincuentes a su favor? Para responder a estas preguntas y otras tantas que te atañen, hemos contactado con José Luis Díaz, CEO de España y Portugal de Advens, empresa de ciberseguridad que ayuda a protegerse a organizaciones públicas y privadas.

¿Qué tipos de fraude son los más comunes durante estas fechas?

Por nuestra experiencia en la mitigación del fraude cibernético, vemos que durante el Black Friday proliferan los fraudes que aprovechan el volumen de compras que se producen en este período y las comunicaciones asociadas a estas compras: correos y SMS falsos que suplantan a comercios o empresas de reparto, webs y tiendas online clonadas con ofertas irreales, anuncios y perfiles fraudulentos en redes sociales, y aplicaciones móviles que simulan ser oficiales para robar datos o instalar malware.

También aumentan los fraudes en pasarelas de pago y en plataformas de segunda mano. Todos estos métodos buscan sobre todo captar credenciales, datos bancarios o pagos indebidos, aprovechando siempre la urgencia y la presión comercial propias de estas fechas.

¿Qué recomienda hacer si alguien sospecha que ha sido víctima de una estafa online por estas fechas? ¿A quién acudir primero?

En este caso hay que actuar con rapidez y cancelar o bloquear inmediatamente la tarjeta o medio de pago utilizado y cambiar las contraseñas afectadas (si es posible activar doble factor de autenticación)

El primer punto de contacto debe ser su banco, para frenar cargos fraudulentos y en paralelo, debe presentar denuncia formal ante la Policía Nacional o Guardia Civil (Grupo de Delitos Telemáticos), ya sea presencialmente o a través de sus canales oficiales (intenta guardar todas las pruebas (capturas de pantalla, correos, URLs, justificantes de pago).

Si suplantan una marca conocida, sería conveniente avisar también a la propia empresa para que pueda tomar medidas y minimizar futuros fraudes.

INCIBE pone a nuestra disposición la Línea gratuita de Ayuda en Ciberseguridad: 017, y canales de mensajería instantánea WhatsApp (900 116 117) y Telegram (@INCIBE017).

¿De qué forma una persona normal, que no sea experta en ciberseguridad y que simplemente quiera comprar, puede detectar los fraudes de Black Friday?

Una persona sin conocimientos técnicos puede protegerse prestando atención a algunas señales muy sencillas como son:

• Desconfiar de ofertas “demasiado buenas”
• Huir de mensajes que ejercen demasiada urgencia o presión por la compra
• Revisar siempre la URL (que no tenga faltas, añadidos extra o dominios raros)
• Evitar pinchar enlaces en correos o SMS y acceder directamente a la web oficial del comercio
• Comprobar que la tienda ofrece métodos de pago seguros y reconocidos
• Desconfiar de perfiles o anuncios en redes sociales que piden datos personales o pagos externos.

Además, hay que tener en cuenta que nunca se debe instalar apps fuera de las tiendas oficiales (lo que se conoce como APK) ni compartir códigos SMS o datos de tarjeta por mensajería.

Si recibimos un correo con una "oferta exclusiva" o un mensaje de seguimiento de pedido, ¿qué pasos debemos seguir antes de abrirlo o pulsar en el enlace?

La primera recomendación que daríamos desde Advens antes de abrir un correo o pulsar un enlace, es verificar su legitimidad: revisar cuidadosamente el remitente y comprobar que la dirección pertenece realmente a la marca; pasar el cursor sobre el enlace para ver si lleva a un dominio oficial y desconfiar de mensajes con urgencia, faltas o diseños poco cuidados.

Ante cualquier duda, no abrir nada y acudir directamente a la web o app oficial para confirmar la oferta o el seguimiento del pedido. Nunca se deben introducir datos personales o de pago desde enlaces recibidos por email o SMS cuya autenticidad no esté garantizada.

Se habla mucho de que la inteligencia artificial ha hecho más creíbles los fraudes. ¿Cómo está utilizan la IA el cibercrimen?

La IA está permitiendo al cibercrimen crear fraudes mucho más sofisticados y difíciles de detectar. Hoy se generan correos y SMS sin errores y totalmente adaptados a cada víctima, se clonan voces en segundos para realizar estafas telefónicas, y se fabrican páginas web, anuncios y perfiles falsos casi indistinguibles de los reales.

Además, la IA permite automatizar ataques masivos, probar miles de variaciones de un mismo fraude y personalizar mensajes según el comportamiento del usuario.

Todas estas capacidades hacen que los engaños sean más creíbles y se propaguen con mayor rapidez y eficacia.

¿Podría darnos algún ejemplo concreto de estafa generada/potenciada por IA?

Pues, por ejemplo, durante el Black Friday del año pasado se detectaron campañas de phishing en las que el actor malicioso usó páginas web falsas clonadas idénticas a las originales con ofertas “Black Friday” del tipo “80 % de descuento” para atraer a compradores. Estos sitios clónicos, incluían un botón de pago aparentemente legítimo para que la víctima introdujera número de tarjeta, fecha, CVV y número de teléfono.

Otro que se está dando cada vez más es la clonación de voz de un familiar o un compañero de trabajo. Después llaman pidiendo un pago urgente, un código de verificación o acceso a una cuenta “por una emergencia”.

¿Las empresas tecnológicas (Google, Amazon, etc.) están reaccionando con suficiente rapidez ante estas estafas?

En líneas generales, todas las grandes empresas tecnológicas están ya adoptando medidas para combatir el fraude online, pero debemos tener en cuenta que no siempre lo hacen con la rapidez o eficacia esperadas y que los ciberdelincuente van, a veces, por delante de estas medidas.

¿Qué deberían cambiar los comercios y tiendas digitales para proteger a sus clientes? ¿Es una responsabilidad compartida?

Bajo nuestro punto de vista, la protección es claramente una responsabilidad compartida: por un lado, las empresas deben poner medios técnicos y prevención activa (implementar autenticación robusta, monitorizar dominios que suplantan a la empresa y detectar patrones anómalos de pago), mientras que los usuarios deben adoptar hábitos básicos de seguridad. Solo la combinación de ambos reduce realmente el impacto del fraude online.

Y, a medio-largo plazo, ¿qué debería cambiar en la educación digital o regulación para reducir este tipo de fraudes?

A medio y largo plazo será imprescindible actuar en dos frentes:

Por un lado, en awareness en ciberseguridad, integrar de forma continua en escuelas y empresas contenidos sobre ciberseguridad para evitar fraudes, verificación de fuentes, identificación de señales de fraude, gestión segura de contraseñas e impacto de la ingeniería social. No se trata solo de “saber usar Internet”, sino de entender cómo operan los atacantes y cómo protegerse.

Por otro lado, en regular correctamente. Será clave reforzar la obligación de las plataformas de retirar con rapidez contenidos fraudulentos, exigir mayor trazabilidad en la publicidad online y elevar los estándares de verificación de identidad en operaciones sensibles.

Más allá del Black Friday, ¿qué hábitos deberíamos mantener todo el año para comprar online con seguridad?

Desde Advens recomendamos unas pautas sencillas que todo el mundo debería seguir para evitar este tipo de fraudes como son:

• Acceder siempre directamente a las webs oficiales en lugar de pinchar enlaces recibidos por correo o SMS
• Revisar cuidadosamente la URL antes de introducir datos
• Utilizar métodos de pago seguros y evitar transferencias directas
• Activar la doble autenticación en todas las cuentas
• Actualizar dispositivos, navegadores y apps
• Desconfiar de ofertas excesivas o comercios sin información clara de contacto
• No compartir códigos SMS, datos de tarjeta o contraseñas con nadie

Además, es recomendable monitorizar periódicamente los movimientos bancarios y utilizar contraseñas únicas y robustas.

Estos hábitos reducen de forma significativa el riesgo de fraude durante todo el año.