+34 697 722 901 [email protected]

Estos días ha vuelto a ocurrir.

Un familiar nos escribía para preguntarnos cómo podía saber si una página donde había hecho uno de los pedidos recientes para un regalo sería real o era un timo.

¿La razón? Llevaba cerca de dos semanas esperando que el pedido llegase, y al ponerse a buscar una manera de contactar con la empresa, se encontró con que no había forma. Al correo desde el que le enviaron un email de confirmación no respondían, y la web no tenía sistema de contacto por ningún lado.

Lo primero que hicimos fue, por tanto, hacer una investigación de todos los elementos que teníamos de esa web, para percatarnos de que en efecto todo apuntaba a que estamos ante un fraude.

Te voy a explicar por aquí los pasos que hay que seguir para diferenciar una tienda online legítima de una que no lo es, y en caso de haber caído ya en la trampa, qué deberías hacer para minimizar los daños.

Lo primero de todo: El dominio y la web

Como en tantas otras cosas (le pasó a mi pareja hace unos años en aquella estafa en la que cayó mediante un anuncio en Instagram), la mayoría de víctimas llegan a este tipo de páginas mediante campañas publicitarias en redes sociales o captación a puerta fría mediante email o también redes sociales.

Y esto tiene todo el sentido del mundo.

A fin de cuentas, aunque no es imposible (no voy a decir que esto sea un criterio de seguridad), es mucho más complicado posicionar una tienda online en las búsquedas transaccionales de un buscador como Google que pagar a Facebook para que esa página se muestre a unos perfiles específicos (gente que, por ejemplo, ha dado like o ha participado en todos esos juegos fake de «¿A qué personaje de Disney me parezco? o ¿Cómo seré dentro de 20 años?»). Es decir, usuarios que potencialmente son más vulnerables a caer en timos, y que por lo general desconocen cómo funciona Internet.

  • Trabajar el SEO, sea de una página legítima, sea de una página falsa, lleva bastante tiempo. Más si queremos aparecer los primeros en una búsqueda que esté asociada a compras (por ejemplo «mejores zapatillas deportivas» o «comprar zapatillas deportivas de X marca»).
  • Sin embargo crear una campaña publicitaria en redes sociales o enviar masivamente emails a una base de datos de potenciales víctimas es algo que se puede prácticamente automatizar. Y como los controles son los que son (ya te digo yo que muy pobres), funciona mucho mejor que pegarte el trabajo de posicionar la página para que lleguen visitas orgánicas.

Por tanto, una vez lleguemos a esa página donde venden ese producto que queríamos comprar (o que no sabíamos que queríamos comprar pero ahora lo deseamos), lo principal es que nos fijemos en varios puntos:

El gancho

Por regla general lo que nos va a ofrecer una tienda fraude va a ser mejor que lo que nos ofrecería una tienda legítima.

  • Ofertas increíbles.
  • Productos que ni siquiera han salido aún a la venta.
  • Envíos instantáneos ya que siempre tienen stock.

Es decir, las típicas estrategias de venta que se utilizan en la industria del cibercrimen, y que ya hablamos en su día. El objetivo es que compres lo antes posible («si no lo compras ahora, puesto que has llegado aquí por una publicidad quizás jamás puedas comprarlo ya a este precio» o «ahora mismo hay dos personas interesadas y solo nos queda 1 en stock»), por eso de que no te pares a pensar y caigas en la consideración de que podría tratarse de una estafa.

Por esto mismo, mi recomendación es que te esperes. Que obvies todos esos inputs que generan sentimiento de urgencia, ya que te puedo asegurar que sea la web legítima, sea la tienda un fraude, es una táctica muy utilizada.

Es más, este tipo de elementos son muy habituales en páginas de venta de billetes de avión o alquiler de alojamientos/hoteles. Páginas legítimas, que utilizan estas mismas mecánicas falsas para que compres en caliente y no te lo pienses más.

El dominio

Otro aspecto clave para saber si una tienda online es o no un fraude pasa por fijarse en el dominio.

En este caso, por ejemplo, se trataba supuestamente de la web oficial de la marca de botas Dr Martens.

Sin embargo, la URL era Martinses.online.

Es decir, el nombre ni siquiera era el mismo (utilizaban una estrategia llamada typosquatting, que se basa en crear una dirección que suena igual aunque esté mal escrita) y además, aunque esto ya no tiene por qué, per sé, ser un criterio excluyente, utiliza un dominio .online, cuando lo habitual es que se utilice el dominio .com o uno nacional como el .es, .fr o .uk.

La razón es que estos dominios nuevos son más sencillos de contratar (menores controles), y al ser más nuevos, seguramente no están aún pillados (por tanto, más fácil aún hacerse con ellos).

De hecho, haciendo una búsqueda OSINT de este dominio nos encontramos con que está contratado en Panamá (¿qué raro para una empresa que en teoría vende en España, verdad?), y que por supuesto tiene ocultos los correos administrativos y técnicos:

ejemplo whois fake

Para terminar es importante fijarse si el dominio de la cuenta desde la que nos enviaron el recibo o la confirmación de compra es la misma.

En este caso el correo que enviaron a la víctima era el siguiente:

ejemplo phishing fraude compra

Y como puedes ver, viene de un dominio diferente (b2cplay.com), que no tiene ni web, y que nuevamente está registrado en otro país (EEUU) con la información de contacto oculta.

whois dominio fraude

No tiene sentido que una empresa legítima utilice este tipo de dominios y este tipo de estrategias. Descontando que encima nos responden en inglés cuando la página se supone que es para el mercado español. Es más, el utilizar diferente dominio para las comunicaciones me hace pensar que muy probablemente quien esté detrás tiene varias páginas clónicas distintas, y ha montado en todas ellas el mismo sistema de mailing para agilizar el trabajo.

diferencia web falsa web real
Diferencia visual entre la web falsa (izquierda) y la web real (derecha)

El contenido y contacto de la tienda fraude

Ya con lo anterior no recomendaría comprar ahí.

Pero si aún estamos en duda, lo suyo es analizar el feeling que nos da la web. Y en este caso encontramos varios elementos que la delatan como tienda fraude:

  • A nivel de diseño: Es más simple que la oficial, pero la verdad es que podría pasar perfectamente por la web real. Seguramente en este caso lo que han hecho es clonar una versión anterior de la web oficial. De ahí que ahora ya no guarde parecido con la actual de esta marca de botas.
  • No cumple la GDPR: Para qué molestarse en incluir aunque fuera un disclaimer de política de cookies, ¿verdad? Puesto que seguramente los dueños son de fuera de Europa, lo mismo ni saben que para operar en este territorio es necesario que la web cumpla una serie de requisitos. Requisitos que sí cumple la web oficial de la marca, como era de esperar.
  • El sobre nosotros: En esta página lo suyo es que aparezcan los datos de los fundadores, o en el caso de una marca con tanto recorrido como DR Martens, un poco de historia y datos fiscales. Es decir, justo lo que hay en la página oficial. En cambio en la tienda fraude encontramos, y curiosamente en francés (seguramente han copiado y pegado de otra web) las condiciones de compra. La política de privacidad, la de envío y devoluciones y las condiciones de uso son de mear y no echar gota. Cada una escrita como pinta.
  • Enlaces a redes sociales: Puesto que la página de contacto nos lleva a una página para crearnos una cuenta (y no a un formulario de contacto como tal, que era lo esperable), nos ha dado por revisar las redes sociales que aparecen en el pie de página. Pero lo gracioso es que no llevan a ningún sitio. Otra estrategia más de este tipo de webs, ya que en caso de enlazar a una cuenta no oficial cantaría mucho que es un fraude, y en caso de enlazar a las oficiales, corren el riesgo de que sus víctimas avisen a la tienda oficial de que les han usurpado la identidad.
  • La forma de pago: No es casualidad también que la única manera que hay de pagar sea mediante tarjeta de crédito. Si fuera un negocio regulado, no les importaría incluir otros sistemas como puede ser el de PayPal, aunque sea cobrando un extra al comprador (PayPal cobra por cada transferencia). Pero al ser un negocio falso, si hubieras pagado con PayPal podrías denunciarles ante la compañía y PayPal ante la duda siempre se pondrá de parte del comprador, devolviéndole el dinero.

¿Qué hacer si ya hemos sido estafados?

Pero como te decía, en este caso nos avisaron después de haber caído en la trampa.

En estos casos, ¿qué se puede hacer?

  • Hablar con nuestro banco: Si no ha pasado mucho tiempo desde que hicimos la transferencia, lo suyo es primero de todo hablar con nuestro banco para que bloquee el pago. Esto, por ejemplo, en este caso nos funcionó, pero en el de mi pareja hace año y algo no, habida cuenta de que había pasado más de un mes desde la compra.
  • Denunciarlo: Si hemos llegado hasta ellos mediante alguna publicidad en redes sociales y nos vuelve a salir, darle a denunciar anuncio. Porque lo hagas tú no vas a conseguir nada, pero si lo hacen varios el anuncio queda bloqueado hasta que un agente lo pueda revisar. Y aunque es cierto que estos cibercriminales estarán creando campañas continuamente, al menos es un tiempo en el que ese anuncio en particular no engaña a más personas. Eso y denunciar públicamente (redes sociales) y de forma privada (policía y grupos de delitos telemáticos de la guardia civil) el caso. Ellos son en última instancia quienes más te pueden ayudar a la hora de recuperar el dinero.

Sobra decir que nada más me di cuenta del tema, avisé tanto a la policía como a la propia marca para que bloqueen ese dominio y el resto que estén asociados a la red:

Otros timos que deberías conocer:

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂