Misma plantilla, botones inoperativos y comentarios ‘fake’: ¿qué hay detrás de las falsas promociones de aniversario de grandes marcas?

En las últimas semanas se han estado moviendo por redes sociales diferentes promociones por el aniversario de grandes marcas que invitan a participar en promociones prácticamente idénticas. Todas bajo un mismo patrón: una empresa cumple algún aniversario y para celebrarlo está regalando unos productos que puedes ganar con solo responder unas preguntas. Sin embargo, estos sorteos son en realidad intentos de hacerse con tus datos o de phishing.

Con este mismo patrón nos enviásteis a través de nuestro servicio de verificación por WhatsApp (+34 627 28 08 15) promociones similares de Toyota, Hermès y Rolex. Desde Newtral.es nos hemos puesto en contacto con el Instituto Nacional de Ciberseguridad (INCIBE) para saber si habían recibido últimamente más alertas relacionadas con estas páginas y nos han confirmado que sí han recibido consultas vinculadas con “falsos premios”. 

Además, el análisis de estas páginas ha revelado que no es casualidad que sean similares y que es muy posible que se trate de actividades maliciosas. Te contamos los patrones similares que hemos encontrado en estos sorteos para que, si te llega una página similar, empieces a sospechar.

Una misma plantilla para todos los sorteos

Todas las páginas analizadas tienen en común varios elementos. Lo primero que se puede ver, antes incluso de acceder al sorteo, es que la dirección web tiene un dominio de China (.cn). Aunque los nombres de las páginas puedan variar, en todas coincide que en el propio nombre se incluye “.com” o “.net”, simulando estos dominios comunes, para terminar en “.cn”.

Una vez dentro destaca que el diseño de estas webs no es el de las páginas oficiales de cada marca, que sería lo esperable si fuese un sorteo oficial, sino que todas tienen un diseño común que varía ligeramente según la marca. 

En todas hay un pequeño menú superior con el logo de la marca y unos supuestos botones de menú y carrito de la compra. El detalle de “supuestos” es importante, ya que no se trataba de botones sino que únicamente intentaban dar la impresión de ser una página real.

Debajo aparece el primer elemento que se repite en todas las promociones, varios bloques de texto que te incitan a participar. “Regalo gratis con [marca]. Buena suerte”. Y justo debajo otro bloque de texto que no varía y que insiste en fomentar al usuario a que participe  “¡Felicidades! ¡Celebración del aniversario de [marca]! A través del cuestionario tendrás la oportunidad de hacerte con [el regalo en cuestión]”. Y justo después una imagen del regalo.

Diferentes promociones, diferentes marcas, mismos comentarios

El otro elemento que se repite, y que probablemente sea el más llamativo, son los supuestos comentarios que aparecen al final de la página. Este elemento es el que pretende crear la sensación de que se trata de un regalo real, al que muchas personas estarían optando. Sin embargo, no se trata de comentarios reales.
En las tres páginas que hemos detectado, los comentarios, que simulan el diseño de Facebook, son los mismos. Los tres primeros, por no hacer un listado de todos son: “Lo recibí hoy. ¡Muchas gracias!”, “Pensé que era una broma, ¡pero llegué esta mañana!” y “¡Mierda, no gané nada!”.

También cuentan con otros elementos que prueban que son similares, aunque quizás no son tan llamativos: 

• La fecha de todos los comentarios es la misma, la del día en el que se consulta la página web, actualizándose cada día a la fecha en cuestión. 

• Los “me gusta” de los comentarios se repiten en todas las páginas. Por ejemplo, los tres primeros comentarios tienen siempre 19, 26 y 38 “me gusta”. 

• Como pasaba con los botones de la parte superior de la página, los botones de reacción a los comentarios tampoco son operativos. A pesar de aparecer el botón de “me gusta” o el de comentar, no se puede interactuar con ellos. 

• En algunas páginas también se repiten los nombres de las personas que han hecho los supuestos comentarios y las fotografías que aparecen junto a ellos, menos las tres primeras.

Todas las promociones pertenecen al mismo usuario

Más allá de lo que se puede ver, para buscar un nexo común entre todas las páginas, Marcelino Madrigal, colaborador de Newtral.es y experto en análisis de redes, ha indagado en el interior de estas webs. 

Mediante la herramienta DomainTools, se puede comprobar que todas las supuestas promociones de aniversario están registradas por un mismo usuario, bajo un nombre en chino y un correo electrónico que es una sucesión de letras y números sin mucho sentido. 

Por otro lado, se puede ver que los tres enlaces analizados tienen el mismo código de seguimiento de Google, lo que significa que pertenecen a la misma persona. Además, al consultar en una de las etiquetas el número de identificación termina en 15, lo que significa que hay, al menos, 15 campañas generadas por el mismo usuario.

Que todas tengan los elementos comunes mencionados anteriormente tampoco es casualidad. Según apunta Madrigal, el Google Tag Manager “es un contenedor que permite implementar código en varias webs a la vez y se distribuye de manera automática por todas las que comparte el mismo propietario. Así se agilizan las campañas”.

Más enlaces a otras estafas

Indagando en el código de estas páginas, Madrigal también ha podido descubrir que en su código fuente se pueden encontrar enlaces a otras páginas fraudulentas. Uno de estos es “a una página web que se apropia de contenido y muestra un anuncio a una estafa relacionada con las criptomonedas”. De las cuales ya os advertimos aquí.

Por todo ello, Madrigal explica que estas promociones son “contenidos generados automáticamente como campañas, con múltiples redirecciones a otros dominios”. E indica que “es muy posible” que en ellas “se produzcan actividades maliciosas (desde toma de datos a phishing)”.