Circula por aplicaciones de mensajería instantánea como WhatsApp una supuesta promoción de la tienda de cosméticos Sephora que consistiría en el regalo de un calendario de Adviento “de belleza” con los productos “más lujosos del año”. Sin embargo, es un caso de phishing. Los ciberdelincuentes suplantan la web de la compañía.
- El timo se ha difundido a medida que se acercan las ofertas de fin de año, como el Black Friday.
“¡Gana gratis tu Calendario de Adviento Sephora 2025! Consigue el calendario de Adviento de belleza más lujoso del año — ¡100 % gratuito!”, dice una web a la que remiten los mensajes enviados a través de WhatsApp. El sitio pide a los usuarios que respondan a cuatro preguntas para obtener el supuesto regalo.
- “Sephora. 24 días de sorpresas y magia de belleza. Aún quedan 212 calendarios disponibles”, se lee en la página.
- En la web también aparecen comentarios de supuestos beneficiarios que afirman haber recibido el calendario de Adviento con los productos de belleza, una característica habitual de estas estafas, al igual que las pestañas inoperativas de la web falsa.
[ ‘Phishing’: qué es y cuáles son las modalidades más comunes ]
Promociones reales. La tienda de cosméticos ofrece en su sitio web oficial varias promociones relacionadas con calendarios de Adviento, pero ninguna alude a regalos 100 % gratis. Newtral.es consultó a Sephora sobre la supuesta promoción que circula a través de mensajería, pero, a fecha de publicación de esta verificación, no había recibido respuesta.
Cuidado. La Agencia de Ciberseguridad de Cataluña alertó sobre la campaña fraudulenta que circula por WhatsApp, en la que los estafadores utilizan la imagen y el nombre de Sephora para engañar a las víctimas. “El timo comienza con un mensaje que llega a través de un contacto y que incluye un enlace a un supuesto sorteo de un calendario de Adviento gratuito”, señala.
- La institución explica que los ciberdelincuentes han creado una página web falsa para hacer creer a los usuarios que pueden ganar un pack de productos de belleza. El dominio web que aparece en los mensajes es www.lnkwp.cc, y no el oficial www.sephora.es.
Como es habitual en otros casos de phishing, los estafadores piden a los usuarios que respondan a unas preguntas y, a continuación, solicitan introducir datos personales para, supuestamente, enviar el regalo. Por último, piden los datos de una tarjeta bancaria para gestionar el envío del premio a domicilio.
- “Este paso final tiene como único objetivo robar la información financiera de las víctimas y realizar cargos no autorizados en sus cuentas. Los estafadores incluso solicitan la contraseña de la tarjeta bancaria”, advierte la Agencia catalana.
El Instituto Nacional de Ciberseguridad (INCIBE) indica que una de las características del phishing es que los estafadores solicitan datos que una empresa legítima nunca pediría a través de enlaces, como contraseñas, PIN, claves de firma o el DNI. En caso de haber proporcionado datos bancarios, recomienda ponerse en contacto con la entidad financiera.
