- Identifica estafas típicas del Black Friday: phishing, tiendas clonadas, malvertising y pagos fraudulentos.
- Compra con seguridad: verifica dominios, usa apps y webs oficiales, pagos protegidos y 2FA.
- Si caes en una estafa, actúa rápido: bloquea pagos, cambia claves, analiza tus equipos y denuncia.
El llamado Black Friday se ha convertido en la excusa perfecta para adelantar regalos y cazar chollos, con descuentos que duran ya varios días o incluso toda una black week. La fiebre por comprar online hace que millones de personas llenen sus carritos digitales, y eso dispara tanto las ventas como las oportunidades para los timadores. Cuanta más actividad y prisas, más fácil es que bajemos la guardia.
Durante estas fechas, los ciberdelincuentes afilan sus técnicas: desde correos de phishing y webs clonadas hasta anuncios maliciosos, suplantaciones de paquetería y estafas de pago. La clave para no caer está en saber reconocer sus tácticas habituales, aplicar buenas prácticas y, si algo huele raro, parar un segundo, verificar y actuar con cabeza.
Durante estas fechas, los ciberdelincuentes afilan sus técnicas: desde correos de phishing y webs clonadas hasta anuncios maliciosos, suplantaciones de paquetería y estafas de pago. La clave para no caer está en saber reconocer sus tácticas habituales, aplicar buenas prácticas y, si algo huele raro, parar un segundo, verificar y actuar con cabeza.
Por qué aumentan los fraudes cuando llegan los descuentos
Las campañas del Black Friday y del Cyber Monday concentran el mayor volumen de compras en línea del año, y hay cifras que lo reflejan con claridad: en distintos mercados se estiman desembolsos masivos que superan con holgura los miles de millones y un porcentaje muy alto de compras 100% online. La combinación de prisas, ofertas agresivas y consumidores hiperconectados es el caldo de cultivo ideal para el fraude.
Además, la ingeniería social evoluciona: los delincuentes emplean inteligencia artificial para redactar correos impecables, clonar sitios web y generar anuncios que parecen legítimos. Agencias como el NCSC británico, la RCMP, el FBI o CISA han alertado de repuntes de phishing, ransomware y ataques contra comercios en periodos festivos, cuando muchas empresas tienen menos personal y más transacciones.
En paralelo, organizaciones de consumidores recuerdan otro riesgo: no todo lo que brilla es oro. Investigaciones han detectado productos que se anuncian rebajados cuando realmente están al mismo precio que el día anterior, o incluso más altos que meses previos. Ver el precio original, el porcentaje de descuento y guardar la factura ayuda a cortar de raíz engaños comerciales.
Por último, no es ninguna rareza que el gasto medio suba y que la mayor parte de desembolsos se concentre en tecnología, moda y formación. Ese patrón de consumo marca dianas claras: móviles, portátiles, consolas, wearables y accesorios se convierten en presa, de ahí el bombardeo de ofertas y “súper gangas” en esas categorías.
Estafas y ciberataques más comunes (y cómo reconocerlos al vuelo)
1) Phishing, smishing y vishing
Correos, SMS o llamadas que se hacen pasar por tiendas, bancos o paqueterías para que hagas clic o entregues datos. En Black Friday proliferan confirmaciones de pedidos, problemas con pagos o premios falsos. El objetivo siempre es el mismo: robar credenciales o datos bancarios.
- Señales claras: remitentes con dominios raros, faltas de ortografía, enlaces acortados, urgencias del tipo “solo hoy” o “tu paquete está retenido”. Desconfía si el tono te empuja a actuar deprisa.
- Qué hacer: no pulses los enlaces; entra por tu cuenta a la web o app oficial. Comprueba el seguimiento de envíos solo dentro de las aplicaciones oficiales. Si dudas, llama al servicio de atención al cliente.
2) Pedidos, envíos y números de seguimiento falsos
Recibes un aviso de “incidencia” con tu compra o con la entrega, aunque ni siquiera hayas comprado nada. El enlace apunta a una web maliciosa o descarga malware. El truco funciona porque en estas fechas casi todos esperamos un paquete.
- Señales claras: URL con pequeñas variaciones, mensajería demasiado genérica o con errores, peticiones de pago extra para liberar el envío. Una empresa legítima no te pide datos sensibles por SMS.
- Qué hacer: consulta el estado del pedido en tu cuenta del comercio o en la app oficial de la paquetería, nunca desde un enlace recibido por mensaje. Si viene por SMS, bórralo y repórtalo.
3) Tarjetas regalo, premios y encuestas “demasiado buenos”
Te prometen vale de compra, perfumes u obsequios si pinchas un enlace y completas una encuesta. El destino real es robar tu información o colarte un cargo. Si no participaste en ningún sorteo, ahí ya tienes un motivo para desconfiar.
Incluso se ven campañas que suplantan a marcas conocidas de perfumería o retail con regalos por anniversarios o rebajas imposibles. El enlace de destino nunca coincide con el dominio oficial y piden datos que una tienda seria jamás solicita para un obsequio.
4) Bizum y otros pagos inmediatos mal empleados
Vendedores de chollos que solo aceptan Bizum o presionan para enviar dinero por adelantado. Nada de pasarelas seguras ni otras alternativas. En demasiados casos el producto nunca llega y el perfil desaparece.
- Señales claras: excusas para evitar pagos con tarjeta, comisiones extra si usas métodos con protección al comprador, presión para cerrar “ya”. Un vendedor serio ofrece varias opciones de pago.
- Qué hacer: para compras online, prioriza tarjetas de crédito, servicios con protección al comprador o tarjetas virtuales. Nunca adelantes dinero a desconocidos sin garantías.
5) Tiendas falsas y webs clonadas
Los delincuentes levantan e-commerce calcados, con logos y diseños idénticos a los originales, pero con dominios sospechosamente parecidos. El señuelo son descuentos salvajes del 70–90% en productos de alta gama. Pagas, no llega nada y tu tarjeta queda expuesta.
- Cómo pillarlas: inspecciona la URL y que use https, revisa información legal (dirección, CIF/NIF, contacto real), busca opiniones externas y usa WHOIS para ver la antigüedad del dominio. Un dominio creado hace semanas es mala señal.
- Tip extra: verifica si el comercio muestra sellos de confianza y pasarela de pagos conocida. El candado del navegador indica cifrado, pero no garantiza que el sitio sea legítimo.
6) Typosquatting (un carácter mal puesto y… adiós)
Tecleas “a ojo” la dirección de tu tienda habitual y cometes una errata mínima. Hay actores que registran dominios con esos fallos tipográficos para pescar credenciales o pagos. Una sola letra cambiada puede llevarte a una réplica exacta.
Solución sencilla: guarda en favoritos los accesos a tus e-commerce y bancos habituales y entra siempre desde ahí. Evitar escribir la URL a mano reduce el riesgo de equivocarte.
7) Publicidad maliciosa (malvertising) y skimming en pagos
El malvertising introduce anuncios infectados incluso en webs legítimas; un clic te puede llevar a descargas de malware. El skimming inserta código malicioso en páginas de pago reales para capturar datos de tarjetas. Ambos son furtivos y difíciles de detectar a simple vista.
- Cómo cubrirte: usa bloqueador de anuncios fiable y revisa que la página de pago sea segura (https y candado). Activa alertas de transacciones para detectar cargos raros al momento.
8) Apps fraudulentas y chatbots falsos
Con el auge del móvil aparecen aplicaciones de compra que imitan a tiendas reconocidas, piden permisos que no necesitan o incluyen chatbots falsos que te “atienden” para sacarte datos. Si no vienen de la tienda oficial (Play Store/Apple Store), ni te lo plantees.
9) Donaciones y falsas ONG en temporada alta
Se multiplican las campañas solidarias falsas por email y redes. Piden donativos urgentes por transferencia o criptomonedas sin mucho detalle. Comprueba siempre en registros oficiales y webs verificadas antes de donar.
10) Ataques a empresas: spear phishing, DDoS y ransomware
Los delincuentes no solo buscan a consumidores: también apuntan a comercios. Desde el spear phishing a empleados con acceso sensible hasta ataques DDoS que tiran la tienda o ransomware que paraliza operaciones en plena campaña.
Para el negocio, cada hora de caída o bloqueo puede suponer pérdidas mayúsculas y daño reputacional, justo cuando el tráfico está disparado. Prepararse con antelación es clave para aguantar el tirón.
Señales para desenmascarar “chollos” y engaños en precios
Más allá del fraude técnico, hay tácticas comerciales dudosas. Diversas organizaciones de consumidores han detectado que algunos productos “rebajados” no bajan respecto al día anterior o subieron semanas antes. Comprueba el histórico y que figure el precio original o el porcentaje de rebaja.
Antes de pagar, revisa política de devoluciones, plazos y garantía. Si la web es nueva para ti, inspecciona con lupa su información legal y la letra pequeña de los cambios. Guardar ticket o factura te permitirá reclamar si algo no cuadra.
Y ojo con el efecto “no queda nada”: el reloj, la urgencia y el stock escaso son herramientas psicológicas clásicas. Si el descuento parece inverosímil, probablemente lo sea.
Buenas prácticas para comprar sin sustos
Algunas medidas reducen drásticamente el riesgo sin complicarte la vida. Ponlas en tu checklist y repítelas cada campaña. La constancia es el mejor antídoto contra el fraude.
- Compra en webs y apps oficiales que ya conozcas o que puedas verificar (opiniones, presencia real, contacto). Si dudas, entra manualmente en la URL que tengas guardada.
- Verifica remitentes de emails y desconfía de enlaces en correos, SMS o redes. Para cualquier oferta, ve directo al sitio buscándolo tú. No descargues adjuntos inesperados.
- Comprueba que la conexión es https y que la url coincide con el dominio oficial. Recuerda: candado no equivale por sí solo a “sitio legítimo”.
- Investiga la antigüedad del dominio con WHOIS, revisa Términos y Condiciones para ver dónde opera la empresa y su razón social. Las estafas se concentran en sitios nuevos y opacos.
- Evita wifis públicas para pagar. Si no hay más remedio, usa una VPN de confianza. Mejor, opera desde tu red doméstica protegida.
- Prioriza tarjetas de crédito, soluciones con protección al comprador y tarjetas virtuales con límites. Las carteras digitales añaden una capa de seguridad.
- Mantén sistema, navegador y apps al día; usa antivirus actualizado. Los parches corrigen vulnerabilidades activas.
- Crea contraseñas únicas y largas con un gestor de contraseñas; y, si necesitas, aprende a compartir contraseñas de forma segura; activa la autenticación en dos pasos siempre que puedas. Con 2FA, robar la clave no basta.
- Activa alertas de movimientos en tu banco y revisa los extractos durante la campaña. Detectar a tiempo permite bloquear daños.
- Guarda correos de confirmación, facturas y números de pedido. La trazabilidad acelera cualquier reclamación.
Qué hacer si sospechas de fraude o ya has caído
Importante: sangre fría y pasos claros. El tiempo cuenta a tu favor si actúas rápido y ordenado. No te culpes: le puede pasar a cualquiera.
- Bloquea o cancela inmediatamente la tarjeta o medio de pago y contacta con tu entidad para impedir cargos futuros. Pide el bloqueo de operaciones sospechosas.
- Si procede, intenta frenar pagos pendientes o disputarlos con el banco/plataforma de pago. Cuanto antes abras el caso, mejor.
- Cambia contraseñas de correo y servicios implicados; prioriza las cuentas donde haya datos bancarios. Activa 2FA si no lo tenías.
- Analiza tus dispositivos con un antivirus actualizado para descartar malware. Si detecta infección, sigue las instrucciones de limpieza.
- Guarda evidencias (capturas, correos, URLs) y presenta denuncia ante las autoridades. Reportar ayuda a cortar la campaña para otros.
Recomendaciones clave para comercios y e‑commerce
Los negocios son objetivo prioritario en estas fechas. Invertir de forma sostenida en ciberseguridad es rentable y evita crisis en el pico de ventas. No basta con “apañar” la web dos días antes.
- Auditorías de seguridad continuas sobre web, e‑commerce, APIs y apps móviles: identificar y priorizar vulnerabilidades críticas como la inyección SQL. Sobre todo, las que afectan al proceso de compra.
- Gestión de vulnerabilidades permanente y vigilancia de fallos emergentes (incluidas 0‑day). Monitoriza y mitiga con criterios de criticidad y exposición.
- Pruebas de denegación de servicio (DoS/DDoS) en entorno controlado para conocer capacidad de respuesta y escalado. Mejor descubrir límites en pruebas que en campaña.
- Simulaciones de ingeniería social y programas de formación continua a plantilla. El correo corporativo es un vector crítico.
- Campañas de concienciación a clientes recordando canales oficiales, tipos de mensajes legítimos y cómo verificar. Clientes informados, menos fraudes de suplantación.
- Servicios de ciberinteligencia para protección de marca: detección de webs clonadas, logins falsos y contenidos fraudulentos. Cuanto antes se tumben, menos víctimas.
Casos y patrones que se repiten cada campaña
Se ven cíclicamente reclamos como garrafas de aceite “premium” a precio de risa, regalos por supuestos anniversarios de supermercados o encuestas de perfumerías con perfumes de alta gama gratuitos. El denominador común es un enlace ajeno al dominio oficial y la petición de datos.
También abundan códigos QR pegados encima de carteles en la calle o en aparcamientos, apuntando a webs de pago falsas o descargas maliciosas. No escanees QR de origen dudoso y, si la promo te interesa, busca la web oficial por tu cuenta.
En el ámbito tech, lo más buscado suele ser smartphones, tabletas, cámaras de acción o 360°, y accesorios compatibles. Aquí los chollos imposibles hacen “clic” muy fácil. Compra accesorios homologados y evita cargadores de baja calidad que pueden dañar el equipo.
Más seguridad “extra” que suma
Para compradores: valorar garantías extendidas en electrónica, revisar coberturas de hogar ante robos y considerar un seguro de viaje si aprovechas para reservar escapadas. Algunas pólizas incluyen asistencia informática o cobertura ante incidencias en desplazamientos.
Para negocios físicos: un multirriesgo bien diseñado y una responsabilidad civil acorde al pico de afluencia reducen sobresaltos logísticos. Para tiendas online, un ciberseguro ayuda a cubrir respuesta a incidentes, forense, recuperación y pérdidas por paradas.
Como recordatorio general, las gangas increíbles rara vez son reales y los comercios legítimos no te forzarán a pagar con métodos poco habituales ni te pedirán datos sensibles por canales inseguros.
La época de descuentos puede ser fantástica si vas con cabeza: contrasta los mensajes, desconfía de urgencias mal explicadas, compra en sitios de confianza y apóyate en pagos seguros y medidas básicas de higiene digital. Si dudas, no hay prisa: verifica primero y compra después. Con estos hábitos, podrás aprovechar las ofertas evitando sustos y manteniendo a raya a los timadores que, año tras año, intentan colarse en tu cesta.
Tabla de Contenidos
- Por qué aumentan los fraudes cuando llegan los descuentos
- Estafas y ciberataques más comunes (y cómo reconocerlos al vuelo)
- 1) Phishing, smishing y vishing
- 2) Pedidos, envíos y números de seguimiento falsos
- 3) Tarjetas regalo, premios y encuestas “demasiado buenos”
- 4) Bizum y otros pagos inmediatos mal empleados
- 5) Tiendas falsas y webs clonadas
- 6) Typosquatting (un carácter mal puesto y… adiós)
- 7) Publicidad maliciosa (malvertising) y skimming en pagos
- 8) Apps fraudulentas y chatbots falsos
- 9) Donaciones y falsas ONG en temporada alta
- 10) Ataques a empresas: spear phishing, DDoS y ransomware
- Señales para desenmascarar “chollos” y engaños en precios
- Buenas prácticas para comprar sin sustos
- Qué hacer si sospechas de fraude o ya has caído
- Recomendaciones clave para comercios y e‑commerce
- Casos y patrones que se repiten cada campaña
- Más seguridad “extra” que suma