La fiebre por la Lotería de Navidad vuelve cada diciembre. La ilusión de un pellizco que nos arregle un poco la vida, las prisas por comprobar si ha tocado y la avalancha de mensajes y enlaces hacen que bajemos la guardia. Y ahí es donde entran en juego los ciberdelincuentes. Según explica Rafa López, experto en ciberestafas e ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software, las estafas que suplantan a Loterías y Apuestas del Estado se disparan en estas fechas y buscan algo más que quitarnos dinero: también quieren nuestros datos para seguir estafando en el futuro. A todo ello se suma ahora la inteligencia artificial, que ha hecho que estos fraudes sean cada vez más difíciles de reconocer, incluso para los especialistas, y explica por qué estas estafas se multiplican, cómo detectarlas y qué hacer para no caer en la trampa.
© Adobe StockPara empezar desde lo básico: cuando hablamos de estafas que suplantan a Loterías y Apuestas del Estado, ¿de qué tipo de fraudes estamos hablando exactamente y qué buscan los delincuentes?
Cuando hablamos de estafas que suplantan a Loterías y Apuestas del Estado, los ciberdelincuentes están tratando de realizar dos cosas. Lo primero, tratar de robarnos el máximo dinero posible a través de nuestra tarjeta o de nuestros datos bancarios; y luego, robarnos toda la información que tengan de nosotros, como puede ser el DNI o estos mismos números de tarjeta de crédito, para luego realizar estafas posteriores.
¿Por qué estas estafas se disparan cada Navidad y qué tiene la Lotería de Navidad que la convierte en un gancho tan eficaz para los ciberdelincuentes?
Los ciberdelincuentes lo que hacen es aprovechar el momento y la oportunidad, y la Navidad es uno de ellos. Se mueve muchísimo dinero y, además, la gente está muy propensa a rellenar cualquier tipo de formulario e introducir sus datos bancarios o su tarjeta de crédito, bien para poder consultar o conseguir un premio, o para comprar décimos que pudieran ser premiados en el futuro. Por lo tanto, igual que ocurre en otras épocas, como pueden ser las rebajas, la población en general está predispuesta a gastar y a entregar mucho más fácilmente sus datos para conseguir algo que quieren; en este caso, décimos de lotería.
© Check Point"Los ciberdelincuentes tratan de robarnos el máximo dinero posible a través de nuestra tarjeta y luego, robarnos toda la información"
¿Cómo suelen llegar estos fraudes a las víctimas —correo electrónico, SMS, WhatsApp, redes sociales— y cuál es hoy el canal más peligroso?
Los fraudes suelen llegar por todos los canales, pero sin duda los ciberdelincuentes van a atacar tanto por el correo electrónico como por las redes sociales. El correo electrónico, mediante una serie de mensajes que nos van a decir que podemos verificar nuestro premio, nos va a solicitar si queremos comprar algún décimo de lotería de algún establecimiento famoso, como puede ser Doña Manolita, La Bruja de Oro, etc., pero que realmente son páginas falsas que buscan nuestros datos y nuestro dinero. Y en las redes sociales, igual: mediante anuncios falsos van a tener muchísima visibilidad. Los SMS, normalmente, en este tipo de campañas no suelen ser utilizados, pero por WhatsApp sí que podría llegar algún tipo de mensaje fraudulento si son capaces de, por ejemplo, robarle la cuenta a un familiar o a un amigo y, mediante una cadena fraudulenta, tratar de engañarnos.
Muchos mensajes fraudulentos parecen cada vez más creíbles. ¿Qué técnicas utilizan los estafadores —y qué papel juega la inteligencia artificial— para que estos avisos parezcan oficiales?
Los ciberdelincuentes, sobre todo, lo que están utilizando ahora son plantillas generadas por inteligencia artificial que son capaces de suplantar, imitar y clonar las páginas oficiales, tanto de loterías como de otro tipo de establecimientos famosos que ya están online a la hora de vender o, incluso, de comprobar los décimos premiados. Por lo tanto, la inteligencia artificial en este sentido hace que sea prácticamente superdifícil para las personas de a pie, e incluso para los que estamos dentro del sector, detectar muchas veces que estamos ante una página falsa o ante un correo electrónico fraudulento.
© GTRESCuando un mensaje anuncia un premio, un décimo bloqueado o una incidencia urgente, ¿qué señales claras deberían hacer saltar todas las alarmas al usuario?
Sin duda, una de las señales que nos tiene que llamar la atención en este tipo de anuncios de décimos bloqueados o incidencias urgentes es la prisa y la cantidad. Luego, igualmente, lo normal es que nosotros no tengamos ningún tipo de información que provenga de Loterías y Apuestas del Estado. Debemos recordar que, para saber si hemos sido premiados, tenemos que acceder a uno de los diferentes buscadores que tienen tanto Loterías y Apuestas del Estado como los diferentes periódicos y medios digitales. Si nos solicitan datos personales o dinero más allá del número de lotería premiado, posiblemente lo que estén tratando es de estafarnos, de conseguir nuestros datos o, incluso, de infectarnos con algún tipo de programa malicioso en el móvil o en el ordenador para robarnos nuestras credenciales bancarias.
Los ciberdelincuentes utilizan plantillas generadas por IA capaces de suplantar, imitar y clonar las páginas oficiales tanto de loterías como de establecimientos famosos
¿Qué errores comunes cometen las personas cuando reciben uno de estos mensajes —por ejemplo, pinchar rápidamente, rellenar formularios o compartir datos— y por qué es justo lo que buscan los estafadores?
Los errores más comunes que solemos cometer son la prisa por querer comprobar si nuestro número ha sido premiado o por cobrar ese número que nos han dicho que ha podido tener un premio. Nuestra urgencia a la hora de comprobar o de comprar ese décimo que queremos es algo que va a jugar siempre en nuestra contra. Es el típico error de no verificar el enlace, no comprobar si realmente el correo que nos envían proviene de una entidad de confianza y las prisas a la hora de validar cualquier tipo de información. Incluso cuando buscamos en internet para comprobar si nuestro número es correcto, clicamos prácticamente en el primer enlace que nos aparece. Por lo tanto, antes de hacer clic y antes de realizar cualquier acción, tenemos que llevar a cabo la "regla de los diez segundos" : contar hasta diez, respirar y entonces comprobar si realmente lo que nos ha llegado o lo que estamos viendo es verdadero o no.
Si alguien introduce su DNI, número de cuenta o datos de la tarjeta en una web falsa, ¿qué consecuencias reales puede tener más allá de perder dinero en ese momento?
Introducir el DNI en cualquier tipo de página web que no sea de confianza nos puede llevar a sufrir posibles fraudes en el futuro ya que, si consiguieran tener más datos además del DNI (como el nombre o la dirección), se ha demostrado que son capaces de abrir cuentas corrientes para cometer estafas, abrir cuentas en casinos online, etc. Por lo tanto, nunca debemos facilitar el DNI porque no nos lo va a solicitar ninguna página legítima de este tipo. Por supuesto, si metemos los datos de la tarjeta de crédito en cualquier web fraudulenta, esto puede hacer que primero nos hagan un cargo incorrecto (porque estamos pagando a un estafador y no recibiremos el décimo) y, además, se quedarán con esos datos para luego hacernos otros cargos y, posiblemente, hacernos perder todo el dinero disponible mediante transferencias u operaciones con la tarjeta.
© Adobe Stock¿Qué recomendaciones básicas daría a cualquier persona que compre o regale Lotería de Navidad para hacerlo de forma segura, tanto online como presencialmente?
La mejor manera es comprar el décimo físico, escribir el nombre de alguien con su número de DNI y compartir esa foto por WhatsApp con la persona a la que le queremos regalar el décimo. Si vamos a comprar Lotería de Navidad online, debemos verificar y estar seguros de que realmente lo estamos haciendo en la página web oficial de Loterías y Apuestas del Estado o del establecimiento que se anuncia. Para ello, no nos vayamos al primer resultado que aparece en Google o Bing, sino que verifiquemos realmente ese establecimiento, igual que cuando compramos cualquier otro objeto o ropa online. Tenemos que estar muy seguros de que la tienda es un sitio autorizado. Para ello, además, deben aparecer diferentes logotipos del Ministerio que autoriza a esa web a realizar la venta de décimos.
En caso de duda, ¿cómo puede un ciudadano comprobar si un mensaje o una web relacionada con la Lotería es auténtica sin ponerse en riesgo?
La verdad es que últimamente es muy complicado para un ciudadano distinguir si una página web es correcta o fraudulenta, ya que los criminales realizan muy bien su trabajo con inteligencia artificial. Pero sí existen algunas herramientas, como pueden ser VirusTotal o BeValk, o incluso el propio navegador, que nos va a advertir si la página donde navegamos es maliciosa. Obviamente, como ninguna herramienta tiene una fiabilidad del 100 %, al final nos queda apelar al sentido común. Si tenemos dudas, siempre lo mejor es no introducir nuestros datos, no hacer el pago y acercarse a una administración de lotería física.
Si nos solicitan dinero por comprobar un número, posiblemente lo que estén tratando es de estafarnos
Por último, si alguien cree que ha sido víctima de una estafa relacionada con la Lotería de Navidad, ¿qué pasos debería seguir de inmediato y a quién debe acudir?
Si se ha sido víctima, lo primero es recoger todas las evidencias: capturas de pantalla, correos electrónicos y la propia página. Se recomienda mucho hacer una captura de pantalla de la web donde se ha hecho el pago, porque estas suelen estar disponibles apenas 24 o 48 horas para dificultar el seguimiento. Después, hay que acudir a las autoridades: Guardia Civil, Policía Nacional o Policías Autonómicas. Ellos serán los responsables de tomar la denuncia, realizar las diligencias y, por supuesto, llevar a cabo las investigaciones.
