Estafas de navidad: cómo los ciberdelincuentes explotan empresas y compradores

Los clásicos: un correo o SMS que simula proceder de una empresa de mensajería o de una tienda online, informándote de una entrega fallida, una tasa pendiente o un problema con tu cuenta. En vez de redirigirte a un portal de seguimiento legítimo, el enlace te lleva a una página controlada por ciberdelincuentes especializada en phishing o distribución de malware.

En esta época, cuando la mayoría espera varios paquetes, incluso los usuarios con experiencia bajan la guardia y hacen clic.

El riesgo para las empresas aumenta cuando los empleados utilizan sus correos corporativos para realizar compras personales o hacen clic en notificaciones de entrega falsas desde dispositivos de trabajo. Una sola cuenta comprometida puede abrir la puerta a movimientos laterales en todo el entorno Microsoft 365.

Aprovechando que en diciembre muchas personas están más dispuestas a donar, los atacantes lanzan campañas de phishing haciéndose pasar por ONGs reconocidas o fondos de ayuda urgentes. Estos correos suelen utilizar un tono emocional y un sentido de urgencia para empujar al destinatario a visitar páginas de donación falsas, diseñadas específicamente con logotipos e imágenes oficiales.

Además de robar datos de tarjetas de crédito a usuarios individuales, estas campañas también pueden dirigirse a empresas a través de supuestas solicitudes de donaciones corporativas o facturas fraudulentas de patrocinio. Para evitar caer en estas trampas, lo más recomendable es verificar directamente el sitio web de la organización benéfica y realizar cualquier donación únicamente a través de sus canales oficiales, sin hacer clic en enlaces incluidos en correos electrónicos.

El compromiso del correo empresarial no se va de vacaciones en Navidad. De hecho, muchos atacantes aprovechan los típicos temas de estas fechas para enviar mensajes que simulan proceder de directivos, solicitando con urgencia a asistentes o personal del área financiera la compra de tarjetas regalo para clientes o eventos navideños. El dinero se blanquea mediante esas tarjetas y el atacante desaparece.

Estas estafas funcionan porque combinan autoridad, urgencia y una historia navideña que es bastante creíble. La mejor defensa es contar con procesos internos claros para la aprobación de gastos y verificar siempre este tipo de solicitudes a través de un segundo canal, como una llamada telefónica o un mensaje por Teams.

Las felicitaciones digitales parecen inofensivas, pero también son una vía para ocultar enlaces maliciosos o payloads. Es muy normal recibir notificaciones falsas de tarjetas o colecciones de fotos navideñas que esconden malware en archivos comprimidos o redirigen a páginas con descargas automáticas. Basta con que un archivo se abra en un dispositivo corporativo para que un simple salvapantallas festivo se convierta en la puerta de entrada a una intrusión.

Las soluciones modernas de seguridad del correo pueden analizar archivos adjuntos y enlaces en entornos seguros, pero se requiere la concienciación del usuario. Si no esperas un correo de esa persona, lo más sensato es confirmarlo antes de abrirlo.

Los kits de phishing tipo Attacker-in-the-Middle interceptan el tráfico entre el usuario y el servicio legítimo, así los ciberdelincuentes roban credenciales, códigos de un solo uso y cookies de sesión. Durante la Navidad, estos kits se camuflan en correos falsos relacionados con compras, envíos o pagos de bonificaciones, que llevan al usuario a introducir sus credenciales en portales de inicio de sesión clonados.

Una vez que el atacante accede a una sesión activa, sortea la autenticación multifactor y accede al correo, almacenamiento en la nube y otros servicios. Así el robo de datos o el fraude interno se desarrolla sin levantar sospechas inmediatas.

El Cibersecurity Report de Hornetsecurity señala una tendencia alarmante: el uso de archivos adjuntos en formato TXT y DOC como vectores para distribuir malware. Estos formatos, antes de bajo riesgo, los aprovechan los atacantes para camuflar facturas falsas, resúmenes de pedidos o documentos de envío en fechas navideñas, cuando los equipos están más saturados y no se comprueba todo.

Si los filtros de correo solo se configuran para bloquear ejecutables clásicos, estos archivos eludirán fácilmente la detección. Para mitigar el riesgo, es clave contar con tecnologías de sandboxing y soluciones de desarme y reconstrucción de contenido (CDR), que neutralizan amenazas ocultas sin afectar la entrega del documento.

Cada diciembre proliferan los comercios electrónicos fraudulentos que imitan marcas reconocidas. Se promocionan mediante anuncios maliciosos o técnicas de manipulación en buscadores, y atraen a usuarios confiados con ofertas irresistibles en productos populares. Una vez captan la atención, recopilan información personal y datos bancarios bajo apariencia legítima, para luego desaparecer sin dejar rastro.

En redes sociales, los atacantes crean perfiles falsos que imitan a marcas o influencers populares, con sorteos navideños, regalos sorpresa o descuentos exclusivos. Para «participar», las víctimas deben seguir enlaces, introducir datos personales o instalar apps que roban credenciales o acceden a datos sensibles.

Recuerda a tu equipo que nunca deben usar direcciones de correo corporativas ni dispositivos de empresa para registrarse en promociones de redes sociales. Esta medida de higiene digital reduce el riesgo de que las amenazas lleguen al negocio.

Los ataques por SMS (smishing) se disparan durante las fiestas junto al aumento de las estafas por correo. Los mensajes que simulan ser notificaciones de entrega, las alertas bancarias o los avisos tipo «producto agotado, haz clic y confirma tu pedido» suelen incluir enlaces acortados u ofuscados, difíciles de verificar desde el móvil.

Al hacer clic, el navegador o la app puede abrir automáticamente una página de inicio de sesión falsa o un formulario que solicita datos bancarios. Conciencia a los empleados para que traten los SMS con el mismo nivel de cautela que los correos, accediendo siempre a los servicios desde apps oficiales o marcadores guardados.

Los enlaces compartidos en plataformas en la nube como SharePoint, OneDrive y Teams van en aumento. Lo que parece ser un enlace a un «nuevo calendario de turnos en Navidad» o «material de campaña de fin de año» puede dirigir a un archivo malicioso o a una página de phishing alojada en un entorno comprometido.

Al provenir de un contacto aparentemente fiable, los empleados son más propensos a conceder permisos o introducir credenciales sin verificar. Por ello, es fundamental revisar las políticas de uso compartido externo y mantener una supervisión activa de los permisos de acceso en plataformas colaborativas.

Fondos de pantalla navideños, salvapantallas animados, extensiones de navegador, pequeños juegos… todos pueden ocultar más que copos de nieve y villancicos. Los atacantes empaquetan loaders y herramientas de acceso remoto en descargas que parecen inofensivas, confiando en que el ambiente festivo te haga bajar la guardia.

Una vez instaladas, estas herramientas sirven como puerta de entrada para desplegar ransomware, robar credenciales almacenadas en el navegador o moverse lateralmente dentro del entorno corporativo. El control de aplicaciones y la restricción de privilegios de administrador local en los dispositivos son medidas clave para reducir drásticamente este riesgo.

Los atacantes saben que una vía para acceder a una empresa protegida es a través de un proveedor pequeño, con menos recursos de ciberseguridad. En diciembre, intensifican sus campañas contra terceros como proveedores de nóminas, agencias de marketing o servicios subcontratados para secuestrar hilos de correo legítimos e insertar datos bancarios falsos o distribuir malware.

Estos ataques navideños dirigidos a la cadena de suministro son difíciles de detectar porque se apoyan en relaciones reales y proyectos activos. Para mitigarlos, verifica cualquier cambio en la información de pago y mantener una supervisión constante de las cuentas de terceros ante comportamientos sospechosos.