El Incibe alerta de una oleada de correos electrónicos en los que intentan engañar a los usuarios con falsas recompensas
11 jul 2025 . Actualizado a las 05:00 h.Las ciberestafas suelen colarse en nuestras bandejas de entrada del correo, o en los mensajes del teléfono móvil. Muchas veces lo hacen en forma de tentación. Un asunto brillante, una promesa irresistible: «Has sido seleccionado para recibir una Caja Misteriosa», «¡Completa nuestra encuesta y gana un set de herramientas!». Todo parece una ganga, una recompensa inesperada por nuestra fidelidad a una marca o simplemente por haber estado en el lugar correcto en el momento adecuado. Pero siempre son engaños.
En las últimas semanas, el Instituto Nacional de Ciberseguridad (Incibe) ha detectado una oleada de correos electrónicos que suplantan a marcas tan reconocidas como Leroy Merlin, Tupperware, Bosch, Mapfre o Fagor. El modus operandi es siempre el mismo: se notifica a los usuarios que han sido elegidos para recibir un premio exclusivo, a menudo limitado en unidades y en tiempo, y se les invita a participar en una breve encuesta. Hasta aquí, todo parece inocente.
Paso a paso hacia el engaño
La trampa llega después. Tras hacer clic en el enlace del correo, se accede a una página web diseñada para imitar la oficial de la marca: colores corporativos, logos, tipografías e incluso mensajes motivacionales que refuerzan la autenticidad de la supuesta promoción. Se indica que las recompensas son limitadas y que deben reclamarse rápidamente.
Al comenzar la encuesta, los usuarios responden a preguntas de carácter general o personal. Después, son conducidos a un formulario donde deben introducir sus datos personales e incluso bancarios para, supuestamente, pagar una pequeña cantidad correspondiente a los gastos de envío del premio. Es justo ahí donde está fraude.
En ese momento, aparece un botón con el mensaje «Reclamar recompensa». Al pulsarlo, los usuarios son redirigidos a una presunta plataforma de pago seguro, donde se les solicita su correo electrónico y contraseña, y se les informa de que el coste del envío es de solo un euro. Finalmente, y de forma deliberadamente engañosa, la supuesta pasarela de pago informa de que el proceso no ha podido completarse porque la tarjeta ha sido rechazada. Para el usuario, el intento ha fallado. Pero para los ciberdelincuentes, la operación ha sido un éxito: ya tienen todos los datos necesarios para cometer fraudes, suplantaciones o transacciones no autorizadas.
Los ciberdelincuentes juegan con la urgencia y el entusiasmo. Frases como «quedan pocas unidades disponibles» o «oferta por tiempo limitado» buscan provocar decisiones impulsivas. Pero hay señales que permiten detectar el engaño. Desde remitentes con direcciones sospechosas, mal redactadas y a veces incluso con mezcla de idiomas, hasta enlaces que no conducen a los dominios oficiales de las marcas. Todo está diseñado para parecer legítimo a simple vista.
¿Y si he pinchado en el enlace?
El Incibe explica que si un usuario recibe uno de estos correos y no ha pinchado en ningún enlace, lo mejor que puede hacer es marcarlo como spam y eliminarlo. También recomiendan reportarlo a su buzón de incidentes para ayudar a identificar nuevas campañas y proteger a más usuarios. Sin embargo, si un usuario ha caído en la trampa y ha facilitado información personal o bancaria, es clave actuar con rapidez.
Lo primero es contactar con nuestra entidad bancaria para informarles de lo ocurrido. Muchas disponen de teléfonos específicos para estos casos. Además, conviene revisar los movimientos de la cuenta en busca de cualquier actividad sospechosa, guardar todas las pruebas posibles (capturas de pantalla, correos, enlaces) y considerar el uso del servicio de testigos online para validar dichas evidencias. Otra recomendación importante es hacer egosurfing —buscar nuestro propio nombre en internet— para comprobar si nuestros datos han sido publicados sin consentimiento o si están siendo utilizados para otros fraudes.