En los últimos años, la compra de boletos de lotería vía 'online' se ha convertido en una alternativa a la adquisición de boletos físicos ampliamente aceptada en la sociedad, un interés que también ha fomentado los timos y las ciberestafas.
Si bien este método es más cómodo que el de acudir presencialmente a una de las Administraciones de Lotería, no todos los usuarios que compran décimos de forma remota son conscientes de los riesgos a los que se enfrentan. Entre ellos, el 'phishing' o los fraudes en los cobros.
Al igual que hay que tener especial cuidado con dónde y a quién se compra la Lotería de Navidad —con detalles a tener en cuenta, como que lleve el logo oficial o que se trate de un local de venta autorizado— también se deben tener en cuenta los riesgos que supone comprar y cobrar un décimo a través de internet.
En primer lugar, se debe tener en cuenta que la lotería se debe comprar en la web oficial de Loterías y Apuestas del Estado, mismo lugar en el que se puede consultar qué administraciones de lotería tienen asignado cada número.
También se pueden comprar en las páginas web de las administraciones, como es el caso de la Bruja de Oro o Doña Manolita, así como en la aplicación TuLotero, disponible en App Store para iOS y Google Play para Android.
Una de las estafas más habituales es la de las páginas web fraudulentas que distribuyen los ciberdelincuentes para robar los datos de los usuarios cuando buscan comprar un décimo de lotería.
Este es el motivo por el que desde Kaspersky recomiendan no fiarse de sitios web que ofrezcan precios demasiado baratos o altos, puesto que los décimos están regulados por el Estado y nunca no tienen suplementos ni rebajas: su precio único es de 20 euros.
También es recomendable guardar los 'emails' de confirmación de compra puesto que, de esta forma, se podrá presentar como prueba en caso de haber caído en la estafa y en el momento de denunciarlo.
También se debe comprobar que el portal de venta al que se está accediendo es una web legítima. Entre algunos de los indicativos que distinguen una sitio legítimo de otro que no lo es están el candado seguido de 'https'. Estos detalles certifican que son webs autenticadas.
El 'phishing' es otro tipo de estafa habitual en estos casos, ya que se trata de una técnica basada en el envío de mensajes a través de correos electrónicos o SMS. En ellos se incluyen enlaces que ofrezcan lotería o que animen a los usuarios a cobrarla.
Para captar la atención de las víctimas y que acaben haciendo clic en ellos, los ciberdelincuentes incluyen su nombre o su dirección en el mensaje. Una vez se haya pinchado el link, se descarga un 'malware' en el dispositivo.
Para evitar estas falsas comunicaciones, conviene utilizar una solución de seguridad que impida que estos mensajes lleguen al 'smartphone' o que se puedan abrir enlaces fraudulentos.
En este tipo de estafas se apuesta por la popularidad de premios como El Gordo de Navidad para conseguir engañar a las personas que han comprado un boleto y creen haberlo ganado. En estos casos, los atacantes hacen creer a las víctimas que son la empresa oficial de Loterías y Apuestas del Estado para que estas establezcan contacto con un presunto agente encargado de recompensarle por su boleto comprado.
El supuesto agente solicita a los usuarios que rellenen un formulario para verificar la identidad de la víctima, bien a través de una copia del DNI o bien del pasaporte. A continuación, les envían otro correo electrónico en el que se disponen distintas formas de cobrar la lotería.
Entre ellas está la transferencia bancaria, recoger el dinero personalmente en una localización lejana o abrir una cuenta nueva en un banco desconocido para la víctima. Una vez decidida la opción, que generalmente será la primera porque crea más confianza, se produce el fraude: los ciberdelincuentes solicitan el pago de una cantidad determinada de dinero, que los usuarios terminan pagando porque desean recibir su presunto premio.
Desde Kaspersky recuerdan que existen detalles a tener en cuenta que determinan que este tipo de mensajes son un fraude. En primer lugar, conviene destacar que las organizaciones oficiales suelen utilizar servidor propio, en detrimento de otros más generales, como Hotmail o Gmail.
También se pueden utilizar los motores de búsqueda para verificar el origen o procedencia de estos mensajes. Gracias a este paso, las posibles víctimas podrán conocer otros casos o testimonios de personas que hayan picado el anzuelo.