Cuidado con los correos sobre el Black Friday

En los últimos años, el Black Friday, que este año se celebra el 28 de noviembre, ha irrumpido con fuerza en nuestro país. Sin embargo, este viernes negro que inaugura el periodo de compras navideñas no está exento de problemas.

Las organizaciones de consumidores advierten de la importancia de no dejarnos arrastrar por la fiebre de la rebaja, pues muchos establecimientos suben días antes los precios para después reducirlos.

Asimismo, las ciberestafas se disparan, lo que hace fundamental extremar las precauciones, tanto a nivel individual como empresarial. El porcentaje de correos electrónicos fraudulentos relacionados con el Black Friday supera el 70% del total del tráfico comercial relacionado con esta fecha, según datos de Trend Micro Iberia, empresa especializada en ciberseguridad.

Esta compañía habla de miles de webs clonadas, campañas de phishing corporativo y anuncios falsos diseñados no solo para engañar a los clientes, sino también para comprometer a los proveedores y empleados de las propias organizaciones. "Los delincuentes están industrializando el fraude online mediante malware-as-a-service y herramientas de inteligencia artificial generativa que permiten suplantar marcas, identidades y comunicaciones empresariales con un realismo sin precedentes", alerta su director técnico, José de la Cruz.

De correos falsos a tiendas espejo 

Esto hace que, durante las grandes campañas comerciales, "adapten su infraestructura de fraude en cuestión de horas”. “No hablamos solo de correos falsos o enlaces sospechosos. Hoy vemos tiendas completas copiadas píxel a píxel, perfiles en redes sociales que suplantan marcas reales, e incluso vídeos o voces creadas por IA para hacer más creíble una comunicación falsa", detalla. 

En este contexto, subraya que "la interconexión entre tiendas online, plataformas logísticas, pasarelas de pago y sistemas ERP multiplica los puntos de exposición";  y en fechas como el Black Friday, en las que el volumen de transacciones y comunicaciones entre empresas se dispara, la probabilidad de ataques de suplantación o compromiso de correo empresarial se multiplica también. 

En el informe 'Deepfake It ’Til You Make It', Trend Micro documenta un aumento del 600 % en los ataques de fraude corporativo impulsados por deepfakes durante este 2025. Se incluyen aquí los casos en los que delincuentes crearon incluso reuniones por videollamada con directivos falsos para autorizar transferencias o compartir información sensible. "Este tipo de amenazas, que antes requerían altos conocimientos técnicos, hoy pueden ejecutarse con herramientas accesibles por menos de 50 euros al mes", asegura De la Cruz. 

El impacto se extiende a toda la cadena de suministro, pues al suplantar a proveedores legítimos o crear tiendas espejo, los atacantes pueden infiltrarse en flujos de pago, alterar facturas o desviar fondos. “La duplicidad de dominios no solo engaña a los compradores, sino que erosiona la confianza entre socios empresariales y puede provocar fugas de datos o interrupciones operativas en cuestión de minutos”, apunta. 

Estafas personalizadas

Según el análisis de esta compañía, más del 60% de las estafas del Black Friday de 2024 tuvieron tuvo que ver con campañas de phishing corporativo, en las que se simulaban pedidos, devoluciones o incidencias logísticas. Para este 2025 se espera un crecimiento de estas amenazas impulsadas por IA generativa, capaz de crear correos, audios o vídeos totalmente personalizados para cada víctima.

Asimismo, advierten, se observa un incremento sostenido en el uso de aplicaciones fraudulentas y servicios de terceros comprometidos que se integran en entornos empresariales a través de APIs o marketplaces no verificados. “Los atacantes han entendido que la empresa es tan segura como el eslabón más débil de su ecosistema digital”, señala el director técnico de Trend Micro. 

Urgencia, descuentos masivos y alta actividad transaccional hacen del Black Friday, por tanto,  una ventana de oportunidad ideal para los ciberdelincuentes. “Este periodo es una prueba de estrés de ciberseguridad para las organizaciones”, enfatiza De la Cruz, añadiendo que "millones de transacciones, identidades y credenciales circulan entre sistemas interconectados". "Un correo mal verificado o una web clonada pueden comprometer toda la cadena de suministro", insiste. 

Cómo reducir el riesgo

Para reducir el riesgo, a nivel individual y empresarial, desde esta compañía recomiendan  reforzar los controles de verificación de dominios y comunicaciones, implementar políticas de “confianza cero” en entornos de pago y colaboración, y formar a los equipos sobre los riesgos de suplantación mediante deepfakes o phishing avanzado.

“Las campañas de descuentos han pasado de ser una oportunidad comercial a un campo de pruebas para el cibercrimen. Las organizaciones que entienden esto no solo se protegen a sí mismas, sino también a su cadena de suministro y a sus clientes”, concluye.