Las rebajas (invierno, verano, Black Friday, Cyber Monday o campañas puntuales de eCommerce) son un periodo de alta actividad para el comercio digital… y también para los ciberdelincuentes. Estas fechas concentran un aumento notable en intentos de phishing bancario, fraude en pagos, suplantación de comercios y estafas por ingeniería social dirigidas a clientes particulares y autónomos. En este post analizamos las ciberestafas más habituales en época de rebajas en España, cómo detectarlas y qué medidas recomendamos desde el sector bancario para proteger tu dinero y tu identidad digital.
Todos estos mensajes tienen un mismo objetivo en común: que el usuario haga clic y acceda a una web clonada del banco (o de un servicio de pago), donde introducirá datos de caracter personal, usuario y contraseña, códigos SMS (OTP) o incluso claves de firma.
¿De qué forma puedes identificar phishing bancario? En primer lugar has de tener en cuenta que tu banco o entidad financiera nunca te pedirá claves completas ni códigos de firma por email o SMS. Además, debes sospechar de enlaces extraños o acortados, mensajes con errores ortográficos, tono alarmista y de urgencia o petición de claves, PIN, códigos o datos completos de tarjeta.
En campañas de rebajas, muchos usuarios esperan pedidos, por lo que un SMS de empresas como Correos, SEUR, MRW o DHL parece creíble.
Al hacer clic en uno de estos mensajes podrías estar facilitando datos de tu tarjeta en un formulario, instalar un malware (software maligno) en tu dispositivo o facilitar accesos a tu banca online.
Como recomendación, revisa siempre tu pedido pendiente de ser entregado desde la web o app oficial del comercio y no desde enlaces recibidos por SMS.
Aquí el estafador intenta que el usuario le facilite: códigos OTP, autorizaciones de firma, confirmación de operaciones. Esto puede terminar en altas de tarjetas virtuales, contratación de financiación o acceso a tu banca online.
Aquí la regla de oro es que si tu banco te llama, cuelgues y llames tú al número oficial que aparece en la web o app oficial.
Como consejo, instala apps solo desde Google Play o App Store, nunca desde enlaces externos.
¿Por qué aumentan las estafas durante las rebajas?
Durante las rebajas se dan tres factores que los estafadores aprovechan:- Mayor volumen de compras online: más transacciones y más oportunidades para el fraude.
- Decisiones rápidas por “ofertas limitadas”: el usuario baja la guardia para no “perder” el chollo.
- Saturación de comunicaciones (SMS, emails, publicidad): es más fácil que pase desapercibida una alerta falsa.
Phishing bancario: el clásico que nunca falla (para ellos)
El phishing es la estafa más común. Durante las rebajas es frecuente recibir correos o mensajes del tipo: “Hemos bloqueado tu tarjeta por seguridad”, “Detectamos un pago sospechoso, verifica tu identidad”, “Actualiza tu cuenta para seguir comprando online”, “Tu banca online requiere confirmación urgente”.Todos estos mensajes tienen un mismo objetivo en común: que el usuario haga clic y acceda a una web clonada del banco (o de un servicio de pago), donde introducirá datos de caracter personal, usuario y contraseña, códigos SMS (OTP) o incluso claves de firma.
¿De qué forma puedes identificar phishing bancario? En primer lugar has de tener en cuenta que tu banco o entidad financiera nunca te pedirá claves completas ni códigos de firma por email o SMS. Además, debes sospechar de enlaces extraños o acortados, mensajes con errores ortográficos, tono alarmista y de urgencia o petición de claves, PIN, códigos o datos completos de tarjeta.
Smishing: SMS falsos con avisos de pagos, entregas o devoluciones
El smishing (phishing por SMS) crece muchísimo en rebajas. Es muy común que el atacante se haga pasar por entidades financieras (“cargo retenido”), comercios (“reembolso pendiente”), paquetería (“tu paquete está a la espera de ser entregado”) o plataformas de pago.En campañas de rebajas, muchos usuarios esperan pedidos, por lo que un SMS de empresas como Correos, SEUR, MRW o DHL parece creíble.
Al hacer clic en uno de estos mensajes podrías estar facilitando datos de tu tarjeta en un formulario, instalar un malware (software maligno) en tu dispositivo o facilitar accesos a tu banca online.
Como recomendación, revisa siempre tu pedido pendiente de ser entregado desde la web o app oficial del comercio y no desde enlaces recibidos por SMS.
Tiendas online falsas: descuentos imposibles y dominios “casi iguales”
En rebajas aparecen cientos de tiendas fraudulentas que imitan a marcas reales o se presentan como outlets oficiales con descuentos extremos: “80% solo hoy”, “Liquidación por cierre”, “Stock limitado: 10 unidades”.
Estas webs están diseñadas para obtener tus datos de pago, recopilar informacion personal para futuras estafas o, directamente, para robar dinero porque nunca recibirás el producto que "supuestamente" has adquirido. Para detectar una tienda falsa ten en cuenta estas claves:
- El dominio tiene un nombre sospechoso (ej. .top, .vip, .xyz) o con letras cambiadas respecto a una tienda online conocida.
- Desconfía de tiendas que no incluyen una razón social, dirección real o CIF al final de la página o en su sección de aviso legal.
- No existe ninguna política de devoluciones.
- Solo admiten transferencias o tarjetas sin verificación.
Como consejo, si un comercio no usa sistemas de autenticación reforzada (como 3D Secure), desconfía.
Estafas en marketplaces y compraventa (Wallapop, Vinted, etc.)
Durante rebajas también aumenta el fraude en plataformas de segunda mano. Los ataques típicos incluyen enlaces falsos de pago: “pago seguro confirmado, entra aquí”, envío fraudulento: “gestiona el envío desde esta web”, suplantación del soporte del marketplace. Los delincuentes redirigen al usuario a una web falsa para robar datos de tarjeta o credenciales. Nuestra recomendación es que no cierres ninguna operación fuera de la plataforma.Vishing: llamadas falsas del banco por cargos sospechosos
El vishing (fraude por llamada telefónica) es especialmente peligroso: el atacante suele conocer información parcial del cliente obtenida por filtraciones previas o redes sociales. Ejemplo típico: “Le llamamos del departamento antifraude. Hay un cargo bloqueado, necesitamos verificar su identidad y que nos diga el código que le llega por SMS”.Aquí el estafador intenta que el usuario le facilite: códigos OTP, autorizaciones de firma, confirmación de operaciones. Esto puede terminar en altas de tarjetas virtuales, contratación de financiación o acceso a tu banca online.
Aquí la regla de oro es que si tu banco te llama, cuelgues y llames tú al número oficial que aparece en la web o app oficial.
Malware y falsas apps de cupones o seguimiento de envíos
Otra estafa frecuente en rebajas consiste en distribuir apps falsas de cupones, supuestos rastreadores de paquetes u “ofertas exclusivas” en APK (fuera de tienda oficial).Estas apps pueden incluir troyanos bancarios capaces de leer SMS, capturar pantallas, interceptar notificaciones o robar credenciales.Como consejo, instala apps solo desde Google Play o App Store, nunca desde enlaces externos.
Buenas prácticas recomendadas
Para evitar estafas en rebajas, estas son las medidas más efectivas:- Activa alertas y notificaciones bancarias: así detectarás movimientos en tiempo real y podrás reaccionar rápido.
- Usa tarjeta virtual o límites de compra: muchas entidades permiten dar de alta tarjetas virtuales para compras online, establecer límites por operación o establecer bloqueos temporales de tarjetas.
- No compartas códigos (OTP) con nadie, aunque parezca el soporte del banco.
- Verifica siempre los enlaces.
- Antes de realizar un pago revisa el dominio y evita hacer clic en enlaces de anuncios sospechosos u ofertas demasiado llamativas.
- En caso de duda detén la operación. Frenar treinta segundos puede ahorrarte cientos de euros.
¿Qué hacer si has sido víctima de una ciberestafa?
Si sospechas que has caído en una estafa durante rebajas:- Bloquea la tarjeta desde la app de tu entidad financiera.
- Cambia credenciales de banca online y correo.
- Contacta con tu entidad financiera cuanto antes.
- Denuncia ante Policía Nacional o Guardia Civil.
- Revisa tu dispositivo por posible malware.
