Cuatro formas de fraude digital que pueden arruinar la Navidad (y qué deben hacer consumidores y retailers)

La temporada navideña es el momento del año en que mejor se cruzan tres elementos que, juntos, conforman un escenario ideal para el fraude digital: urgencia por comprar, exceso de ofertas y relajación de la vigilancia. A eso se suma un protagonista relativamente nuevo: la inteligencia artificial, que ya forma parte tanto del comportamiento de los consumidores como del arsenal de los ciberdelincuentes.

Una encuesta global de Norton sobre compras en temporada revela la magnitud del reto. El 46 % de las personas compraría una oferta navideña en línea en cuanto la ve, sin verificar su origen; en México, esa proporción sube a 59 %. El 36 % a nivel mundial —y 45 % en nuestro país— planea ayudarse de la IA para encontrar ideas de regalos. Y, aunque 44 % de los encuestados reconoce haber comprado por un anuncio en redes sociales, 40 % de quienes fueron víctimas de una estafa en las últimas fiestas lo fue justamente a través de redes.

En ese contexto, los expertos de Veeam, Gil Vega y Luciano Pérez Gaimberan, proponen cuatro formas de fraude a las que conviene prestar atención en las próximas semanas, y recuerdan que la resiliencia cibernética es tan importante para los retailers como la seguridad básica para los compradores.

1. Notificaciones de entrega falsas: el anzuelo perfecto

En pleno maratón de compras, casi todos esperamos algún paquete. Ese simple hecho es el que explotan los delincuentes con mensajes que aparentan ser avisos de entrega de servicios de paquetería o tiendas en línea. El formato se repite:

• un SMS o correo electrónico con aspecto urgente (“tu entrega no pudo completarse”, “confirma tu dirección”);
• un enlace que lleva a una página falsa, a menudo muy similar al sitio legítimo;
• solicitud de datos personales, bancarios o credenciales de acceso.

El problema no es solo la posible pérdida de dinero. Ese clic puede instalar malware, capturar contraseñas o servir de punto de entrada a otros servicios. La recomendación de Veeam es simple, pero efectiva: no hacer clic en enlaces recibidos por mensajes no solicitados y, en caso de duda, entrar directamente al sitio oficial del proveedor para verificar el estado del envío.

2. El sitio “milagroso” de comercio electrónico que tiene todo en stock

Otro patrón recurrente es el sitio de comercio electrónico desconocido que, en apariencia, resuelve lo que ninguna tienda ha podido: ese juguete agotado o ese regalo de alta demanda que “solo ahí” sigue disponible, a buen precio y con entrega rápida.

El mecanismo suele ser:

• anuncios muy segmentados en redes sociales o buscadores;
• páginas bien diseñadas, con imágenes y reseñas falsas;
• procesos de pago que piden más información de la necesaria o evitan métodos con protección al comprador.

El riesgo es doble:

• pagar y no recibir nada;
• entregar datos de tarjetas y credenciales que se usarán después para cargos no autorizados o robo de identidad.

La regla práctica es clara: si una oferta es demasiado buena para ser verdad, probablemente no lo sea. Antes de comprar en un sitio desconocido, conviene buscar reseñas en fuentes independientes, verificar que tenga políticas claras de devolución y usar medios de pago que ofrezcan algún tipo de protección.

3. Cuando el negocio pide pagar con tarjetas de regalo

En el ecosistema de estafas actual, el pago con tarjetas de regalo (como Google Play o iTunes) se ha vuelto uno de los métodos favoritos de los delincuentes. El guion típico es el siguiente: el “vendedor” solicita que el comprador deposite dinero en una tarjeta de regalo, comparta el número y el código, y promete enviar el producto a cambio.

El problema es que, una vez entregado el código, el estafador puede usarlo o revenderlo de inmediato. El comprador se queda sin tarjeta, sin dinero y sin producto, sin posibilidad real de recuperar el monto.

La advertencia de Veeam es contundente: ningún comercio confiable solicita pagos mediante tarjetas de regalo. Si una tienda pide este método, especialmente en compras en línea, es una señal clara de fraude.

4. Ofertas “irresistibles” de viaje: vacaciones que solo existen en la pantalla

La temporada decembrina también es un pico de reservas de viaje: familias que se reúnen, personas que aprovechan para salir de la ciudad o cambiar de aires. Los estafadores lo saben y han perfeccionado sitios web de viajes con ofertas “increíbles” en vuelos, hospedaje o paquetes todo incluido.

En muchos casos:

• las fotografías y descripciones son robadas de sitios legítimos;
• los precios están muy por debajo del mercado;
• las políticas de cancelación son nebulosas o inexistentes.

El resultado puede ir desde perder el dinero de la reserva hasta llegar a destino y descubrir que el hotel no tiene registro alguno de la estancia. Aquí, de nuevo, la precaución básica es buscar señales de legitimidad: revisar si la agencia está registrada, confirmar directamente con el hotel, desconfiar de sitios sin datos de contacto claros y evitar pagos por vías poco convencionales.

Retailers bajo presión: ransomware, phishing y cadena de suministro

Del otro lado de la ecuación están las empresas minoristas. Para ellos, la temporada navideña concentra no solo ventas, sino riesgo operativo. Veeam recuerda que, este año, las ventas navideñas globales se prevén por encima del billón de dólares, lo que convierte a la temporada en un objetivo prioritario para ataques de ransomware, campañas de phishing sofisticadas e intrusiones en la cadena de suministro capaces de interrumpir operaciones en cuestión de minutos.

Cuando una tienda en línea o un marketplace sufre un incidente en pleno pico de tráfico, las consecuencias se miden en:

• ingresos perdidos por cada minuto de inactividad;
• clientes que migran a la competencia;
• daño reputacional difícil de revertir;
• posibles sanciones regulatorias si se filtra información sensible.

Vega y Pérez Gaimberan subrayan que, igual que sucede con los compradores, la resiliencia cibernética empieza con las personas: los retailers que invierten en capacitación constante sobre phishing y fraude tienen una ventaja inicial.

Del “evitar incidentes” a “sobrevivirlos”: resiliencia según Veeam

Sin embargo, asumir que se puede evitar por completo cualquier incidente en temporada es poco realista. La recomendación para los negocios es operar bajo la premisa de que, en algún momento, sufrirán una brecha o un intento serio de ataque, y prepararse para resistir y recuperarse con rapidez.

De acuerdo con el modelo de Madurez de Resiliencia de Datos (DRMM) de Veeam, los pilares clave para esa resiliencia son:

• Estrategia alineada con el negocio y el riesgo.
  No se trata solo de proteger sistemas, sino de entender qué procesos son críticos en temporada (pagos, inventario, logística, atención al cliente) y diseñar planes específicos para mantenerlos en marcha o restaurarlos primero.
• Equipos y procesos bien definidos.
  Quién decide qué, cómo se escalan los incidentes, cómo se coordina TI con operaciones, finanzas y comunicaciones. La improvisación en plena crisis suele ser más costosa que la propia brecha.
• Tecnologías robustas.
  • adopción de un modelo de Zero Trust, que no confía de manera predeterminada ni en usuarios ni en dispositivos;
  • uso consistente de autenticación multifactor;
  • monitoreo en tiempo real de anomalías;
  • respaldos frecuentes e inmutables, sometidos a pruebas regulares de restauración;
  • arquitecturas de seguridad, recuperación, reporteo e inteligencia que permitan actuar rápido ante un incidente, en lugar de limitarse a registrar lo ocurrido a posteriori.

Qué pueden hacer hoy consumidores y empresas

En síntesis, la temporada navideña no tiene por qué convertirse en un campo minado digital, pero sí exige decisiones conscientes tanto de individuos como de organizaciones.

Para los consumidores:

• desconfiar de enlaces y notificaciones no solicitadas;
• evitar compras en sitios desconocidos sin reputación verificable;
• rechazar cualquier solicitud de pago mediante tarjetas de regalo;
• revisar con lupa las ofertas de viaje demasiado baratas;
• apoyarse en herramientas de seguridad actualizadas y en el propio sentido crítico antes de compartir datos.

Para los retailers:

• reforzar la capacitación en fraude y phishing justo antes del pico de temporada;
• revisar su postura de Zero Trust, MFA y monitoreo;
• validar que los respaldos estén actualizados, sean inmutables y se hayan probado recientemente;
• anclar su estrategia de resiliencia en los pilares de negocio, procesos y tecnología, no solo en soluciones puntuales.

Como resumen Veeam y Norton desde perspectivas complementarias, una combinación de higiene cibernética, intuición, buenas prácticas y herramientas adecuadas puede reducir significativamente el riesgo de estafa y de interrupciones operativas. Y, sobre todo, permite algo que en estas fechas vale más que cualquier oferta: disfrutar la temporada con un poco más de tranquilidad digital.