Suplantan a JBL para robar tarjetas de crédito durante Black Friday y Cyber Monday

La marca de parlantes JBL ha sido objeto de una campaña de suplantación de identidad que buscaba engañar a usuarios de Latinoamérica, especialmente en Argentina, durante la temporada de Black Friday y Cyber Monday.

El fraude consistía en páginas falsas que simulaban promociones oficiales, invitando a los usuarios a ingresar los datos de sus tarjetas de crédito.

De acuerdo con la empresa de ciberseguridad ESET, los estafadores diseñaban URLs que parecían legítimas utilizando términos asociados a descuentos o a la propia marca. Esto con el objetivo confundir a quienes no prestan atención a los detalles.

Por ejemplo, algunos enlaces incluían palabras como “hotsale” para dar la impresión de ser auténticas campañas comerciales, imitando estrategias oficiales como “Cyber Week”, “Cyber Monday” o “Black Friday”.

Además, los delincuentes creaban dominios casi idénticos a los verdaderos para hacer aún más creíble la estafa.

Cómo era la estafa de JBL

La estafa de suplantación de JBL se caracterizaba por el uso de técnicas de phishing, detectadas por el equipo de investigación de ESET Latinoamérica. Los ciberdelincuentes creaban un sitio falso con una apariencia muy similar a la página oficial de la marca, pero el contenido de esta web cambiaba según la ubicación, el dispositivo y la configuración de cada usuario.

Así, desde una misma URL, algunos visitantes veían un supuesto catálogo de ropa, mientras que otros, especialmente los seleccionados como posibles víctimas, eran dirigidos a una réplica falsa del sitio de JBL con “ofertas especiales”.

Para ganar credibilidad, los estafadores añadían palabras como “hotsale”, “descuentos” o “store” en las direcciones web, lo que ayudaba a confundir a los usuarios, especialmente en temporadas de grandes promociones.

La página fraudulenta ofrecía aparentes descuentos muy altos, de hasta el 60% o más, y mostraba precios en pesos argentinos, aunque las descripciones de los productos estaban en inglés, lo que evidenciaba la falta de personalización y era una señal de alerta.

Al ingresar sus datos en los formularios del sitio falso, las víctimas enviaban su información personal y financiera directamente a los atacantes.

Con estos datos, los ciberdelincuentes podían realizar compras fraudulentas, vender la información a terceros o incluso suplantar la identidad del usuario para ejecutar nuevas estafas.

ESET advierte la importancia de identificar estos signos de engaño y verificar cuidadosamente las URLs antes de ingresar cualquier dato sensible.

Cómo evitar caer en este tipo de fraudes

Para evitar caer en fraudes de suplantación, como el reciente caso de JBL, es fundamental adoptar hábitos de navegación seguros y estar atentos a las señales de advertencia presentes en la web.

En primer lugar, siempre se debe revisar cuidadosamente la dirección URL de cualquier sitio antes de ingresar datos personales o financieros.

Los ciberdelincuentes suelen crear dominios similares a los originales, añadiendo palabras como “ofertas”, “descuentos” o “hotsale”, con el fin de parecer legítimos, especialmente durante eventos comerciales como Black Friday o Cyber Monday.

Es recomendable ingresar a las páginas web escribiendo la dirección manualmente en el navegador o a través de enlaces oficiales.

Se debe desconfiar de cualquier correo electrónico, mensaje o anuncio que prometa descuentos excesivos o productos a precios considerablemente más bajos que el promedio del mercado. Ofertas demasiado buenas suelen ser la primera señal de advertencia de un posible fraude.

Otra medida es verificar que el sitio tenga un candado de seguridad (HTTPS) en la barra de direcciones, aunque esto no garantiza por completo su legitimidad. Mantener el navegador, el sistema operativo y el antivirus actualizados ayudará a detectar y bloquear sitios maliciosos.

Ante la sospecha de haber ingresado datos en un sitio fraudulento, se recomienda cambiar las contraseñas de inmediato y contactar a la entidad financiera asociada con los datos compartidos.