Se acercan las Fiestas de Fin de Año y el consumidor en línea espera ansioso la llegada del próximo y último evento de rebajas virtuales del año: el Black Friday 2024, el cual tiene origen en Estados Unidos.
Sin embargo, y como en todo evento de promociones, también aumentan los riesgos de las estafas. Los cibercriminales se aprovechan de los compradores ansiosos por beneficiarse de las ofertas excepcionales disponibles en esa fecha para robar datos y dinero.
En Argentina, más de 23 millones de personas realizan compras digitales, la mitad de su población. El país registró más de 262 millones de intentos de ciberataques durante el primer trimestre, según Fortinet; y se ubica tercera en la región en cantidad de incidentes, solo detrás de Brasil y México.
Check Point Research, proveedor en soluciones de ciberseguridad en la nube, examinó las actividades de estos cibercriminales en las últimas semanas y, en vísperas del Black Friday, encontraron un aumento de sitios web maliciosos creados antes del evento, con un aumento del 89% de páginas rastreadas en comparación al 2023.
Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica, adelanta a iProUP que durante este tipo de jornadas, "las estafas cibernéticas se intensifican debido al aumento del tráfico en línea y las compras masivas".
Black Friday 2024: alertan por una plaga de sitios web falsos
El análisis reveló que aproximadamente el 3% de los sitios analizados están clasificados como riesgosos o directamente maliciosos y prácticamente ninguno está clasificado como "seguro". La gran mayoría permanecen envueltos en la ambigüedad, mostrando normalmente una página predeterminada "estacionada" llena de anuncios y enlaces.
El método principal para llegar a las víctimas consiste en enviar correos electrónicos de phishing fraudulentos que ofrecen importantes descuentos y ofertas exclusivas. Estos correos electrónicos alientan a los usuarios a hacer clic en un enlace que los dirige a un sitio web falso.
Ante la consulta de iProUP, Gustavo Pontoriero, Cybersecurity Lead de Nubiral, subraya que el incremento en correos electrónicos, mensajes de WhatsApp y notificaciones falsas que ofrecen rebajas masivas o promociones exclusivas son "una de las metodologías" más comúnes en eventos de este tipo.
"Estos intentan engañar y redirigir a los usuarios a sitios fraudulentos para poder efectuar la estafa, que implica el robo de sus credenciales de acceso, pagos y/o transferencias de productos inexistentes y pedido de información de la tarjeta de crédito, entre otros", asegura Pontoriero.
Estos sitios se hacen pasar por marcas mundiales conocidas y se dirigen a marcas más pequeñas y exclusivas que pueden ser menos reconocibles. Desde Check Point avisan que muchos de estos sitios fraudulentos presentan elementos de diseño y formato similares, lo que sugiere la posibilidad de que haya una operación coordinada detrás de estas prácticas engañosas.
La compañía advirtió algunos ejemplos de URL maliciosos que aparentan ser marcas conocidas anunciando descuentos por el "Black Friday":
- Stüssy (ropa de deporte): stussycanadablackfriday[.]com
- Longchamp (bolsos): longchampblackfriday[.]com
- Wayfair (tienda online para el hogar): wayfareblackfriday[.]com
- SOREL (calzado): soreloutletblackfriday[.]com
- J.Crew (venta minorista): jcrewblackfriday[.]com
- IUN (calzado): blackfriday-shoe[.]top
En esta línea, el ejecutivo de Nubiral avisa que la metodología de los ciberdelincuentes implica "replicar los sitios web de tiendas en línea populares para redirigir a los usuarios a estos portales fraudulentos y obtener la información buscada".
Pontoriero menciona, como ejemplo, que el usuario no debe acceder a realizar acciones en situaciones que "apresuran la compra o indican que es el último producto en stock". Alerta que suelen usar anuncios en buscadores o redes sociales para dirigir tráfico hacia los sitios clonados, a través de palabras clave como "Black Friday ofertas" o similares.
Pero además, existen una serie de ciberamenazas adicionales que se planifican mediante la utilización de bots para enviar mensajes masivos y apropiación de credenciales, incorporación de datos personales básicos obtenidos de filtraciones previas y el uso de herramientas automatizadas para clonar sitios, son algunas de las que agrega Micucci, que devienen en tipos de ataques como:
- Estafas de redes sociales
- Ataques de "formjacking"
- Ofertas falsas por WhatsApp o SMS
- Estafas de entrega y logística
- Secuestro de cuentas (Account Takeover)
- Aplicaciones móviles falsas
- Estafas de tarjetas regalo
- Malware en anuncios publicitarios (Malvertising)
Black Friday 2024: consejos para prevenirse de las estafas
Consultado por consejos para resguardarse, Pontoriero recomienda asegurarse de que los dominios coincidan "exactamente" con los originales y "evitar enlaces enviados por correo o mensajes no solicitados".
Y agrega: "Desconfiar de solicitudes para acceder o de pedidos de información, bloqueos de cuenta o facturas. Otra medida es tratar de tener en los sitios favoritos del navegador los enlaces a los lugares de compra para evitar realizar la búsqueda de los sitios por navegadores y ser víctima de una copia del sitio oficial. Siempre ingresar manualmente la dirección del sitio en el navegador".
Para ayudar a los compradores en línea a mantenerse seguros este año, Check Point Research delineó algunos consejos prácticos de seguridad y protección.
Entre otros, recomienda verificar la URL y buscar el símbolo del candado; evitar comprar un producto en línea utilizando sus datos de pago de un sitio web que no tenga instalado el cifrado de capa de sockets seguros (SSL).
Para saber si el sitio tiene SSL, buscar la "S" en HTTPS, en lugar de HTTP. Aparecerá un ícono de un candado cerrado, generalmente a la izquierda de la URL en la barra de direcciones o en la barra de estado que se encuentra debajo. Si no ve un candado, es una señal de advertencia grave.
Otro consejo es limitar la información personal compartida: evitar compartir fechas de nacimiento o número de seguro social. Cuanto más sepan los piratas informáticos, más podrán secuestrar su identidad.
Asimismo, desde Check Point recomiendan emplear tarjetas de crédito en lugar de tarjetas de débito, ya que las primeras brindan una mejor protección y reducen la responsabilidad en caso de robo.
En tanto, el investigador de ESET añade medidas adicionales para protegerse de las amenazas en línea:
- Usar métodos de pago seguros (preferentemente no transferir dinero directamente a cuentas bancarias desconocidas)
- Investigar las tiendas online
- No compartir datos innecesarios
- Habilita la autenticación en dos pasos (2FA) en cuentas de correo, redes sociales y servicios de pago
- Evitar redes Wi-Fi públicas (realizar compras desde una red segura y privada)
- Mantener software y dispositivos actualizados (con extensiones como HTTPS Everywhere y uBlock Origin para mayor seguridad
- Desconfiar de correos y mensajes inesperados (evitar aquellos que soliciten datos personales)
- Revisar estados de cuenta (monitoreo en tiempo real y reportar inmediatamente todo cargo no autorizado)
- Usar buscadores para validar ofertas
- Denunciar sitios sospechosos
- Limitar el uso de tarjetas físicas
Aunque el 75% de los pagos digitales realizados en estas compras se efectúa con tarjetas de crédito, uno de los métodos más seguros, ya que, en caso de robo o pérdida, el dinero no puede ser extraído directamente de la cuenta del usuario. En cambio, puede aparecer un cargo que se puede cancelar por una compra no realizada.
Sebastián Orsi, Senior Manager de Redbee, destaca la importancia de que las emisoras de tarjetas, bancos y fintech cuenten con segundo método de autenticación, más allá de solicitar los datos personales al comprador.
Postula que el protocolo 3D-Secure es la herramienta ideal para "potencia la autenticación de las transacciones que se realizan en línea, disminuyendo considerablemente los niveles de fraude". El nombre de 3D se debe a los 3 dominios que participan de la transacción digital:
- Dominio de la adquirencia (comercios)
- Dominio de las marcas (tarjetas)
- Dominio de los emisores (bancos emisores de tarjetas)
Según el ejecutivo de Redbee, "se busca asegurar que la persona que realiza la transacción sea la dueña de la tarjeta que se está utilizando. Para eso 3DS define dos flujos: uno llamado frictionless, que permite a los emisores definir una serie de reglas para tratar de determinar si la persona que realiza la transacción es la dueña de la tarjeta, sin pedir información adicional al usuario final".
"Si esas reglas determinan que se trata de una transacción de alto riesgo se activa otro flujo, llamado challenge, un sistema que le envía al usuario final una clave de única vez, por email o SMS, comunicándole que su tarjeta de crédito está por ejecutar una transacción y solicitándole este segundo método de autenticación para asegurar que sea quien la está haciendo", completa.
Resume que, si bien es opcional implementar este nivel de autenticación, les evita a los comercios "hacerse cargo del contracargo, invirtiendo la responsabilidad del mismo en el banco emisor".