¡Hola lectores!

¡Prestad mucha atención a la entrada de hoy porque os traemos un artículo sobre las ciberamenazas relacionadas con la campaña de lotería de Navidad! Y es que llega una época de festividad que muchos esperan con anhelo y alegría durante todo el año. Decoración, luces, regalos, comidas especiales y, como no podría ser de otra manera, el Sorteo Extraordinario de Navidad, más conocido como Lotería de Navidad. Este evento, que constituye uno de los más populares a nivel nacional, se celebra cada año el 22 de diciembre desde el año 1812 y se ha configurado como todo un fenómeno cultural de relevancia internacional en el que hasta 7 de cada 10 adultos en España son partícipes anualmente. En él se ponen a la venta por parte de la agencia estatal pública de Loterías y Apuestas del Estado en todas las Comunidades Autónomas de la nación, décimos que contienen cinco cifras numéricas y que en la jornada del 22 de diciembre pueden ser premiados durante la celebración del sorteo, que en esta ocasión tendrá lugar en el Teatro Real de Madrid, al igual que ha ocurrido los últimos años. Estos décimos han estado a la venta en 2023 desde el 12 de julio de este año y se han emitido hasta 185 millones de décimos, según RTVE^[1].

Son muchas las motivaciones que provocan que los españoles decidan participar en la Lotería de Navidad, incluso en el caso de aquellos que son más escépticos y no participan en otros sorteos de esta índole. Una de las más importantes es que, como se indicó anteriormente, se ha convertido en un auténtico fenómeno cultural característico de la nación y, por tanto, en una tradición de largo recorrido histórico. De hecho, esta tradición ha provocado que desde el ámbito corporativo, las comunidades de vecinos, el núcleo familiar o incluso en el ámbito educativo, entre otros, se anime a los individuos a participar en el sorteo y a comprar décimos compartidos, por lo que la presión social y de grupo vuelve difícil que los sujetos decidan abstenerse de comprar o participar en un décimo. Además, la ilusión propia de la época de festividades navideñas hace más proclive a las personas a participar en acontecimientos que generan sentimiento de pertenencia, sin olvidar tampoco a aquellos individuos que basan la compra en la superstición y la esperanza de ser premiados, puesto que, en comparación con otros sorteos, la Lotería de Navidad cuenta con una gran cantidad de gratificaciones.

En este contexto, resulta factible considerar que los ciberdelincuentes traten de aprovechar este fenómeno del que tantas personas deciden formar parte motivados por la ilusión y la confianza para diseñar campañas de ciberataques que tienen por objetivo al consumidor de Lotería de Navidad. Así, y para interconectar este punto con lo anterior, es preciso hacer referencia a Kevin Mitnick (1963-2023), uno de los expertos en ingeniería social más conocidos en el mundo, quien afirmaba que los ciberdelincuentes cuentan con cuatro principios fundamentales que hacen proclive a las personas a convertirse en el objetivo de ciberataques basados en ingeniería social o, lo que es lo mismo, en la manipulación psicológica mediante tácticas de engaño. Son los siguientes:

• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir "no".
• A todos nos gusta que nos alaben.

Por consiguiente, si se unan componentes como la presión social, la ilusión, la tradición o la esperanza de ser premiados con otros como el afán de ayudar, la confianza que se otorga a las personas con las que se interactúa o la dificultad para decir “no”, se puede constatar que las festividades navideñas y, en particular, el Sorteo Extraordinario de Navidad, suponen el caldo de cultivo perfecto para que se produzca un auge en la ciberdelincuencia durante el calendario de fiestas de fin de año. Este escenario se acrecienta teniendo en cuenta que aun a pesar de las tradicionales y extensas esperas para comprar un décimo en las administraciones más premiadas, como Doña Manolita en Madrid, cada año más usuarios abogan por la inmediatez que otorga la adquisición en línea de la Lotería de Navidad.

De este modo, resulta común que proliferen desde el inicio de las ventas de Lotería de Navidad y muy especialmente en el mes de noviembre y los días de diciembre anteriores a la celebración del sorteo campañas de phishing en las que se suplanta a la agencia de Loterías y Apuestas del Estado a través de diferentes vías (correo electrónico, mensajería SMS, etc.) para contactar con listados de usuarios indiscriminadamente y conseguir que divulguen su información personal o financiera con pretextos falsos históricamente utilizados en toda clase de ciberamenazas de phishing, como una presunta validación de la cuenta para operar en la página web, una necesidad de restitución de contraseña o, más específicamente, incluso, para vender décimos falsos de Lotería de Navidad a través de páginas web fraudulentas.

Ilustración 1. Phishing distribuido mediante correo electrónico en el que se suplanta a Loterías y Apuestas del Estado. Fuente: Blog Protegerse

En cualquiera de los casos mencionados con anterioridad, lo más común es que las comunicaciones contengan un enlace a un sitio web externo en el que se suplanta a la página web oficial de la agencia con la finalidad de solicitar datos a los usuarios, al igual que se observa en el siguiente ejemplo. En la práctica, en caso de rellenar los formularios que emerjan en el sitio web, la información aquí almacenada será enviada a los ciberdelincuentes que hubiesen diseñado la campaña, de modo que podría ser empleada con fines malintencionados.

Ilustración 2. Página web falsa que suplanta a Loterías y Apuestas del Estado. Fuente: Blog Protegerse

En otras ocasiones, el propósito del mensaje, generalmente enviado mediante correo electrónico o SMS, consiste en que el usuario acceda a la descarga de un supuesto décimo de lotería que le habría sido concedido o bien como regalo o bien utilizando como señuelo una supuesta compra de lotería efectuada recientemente por el sujeto. Sin embargo, en la práctica lo más habitual es que al acceder a la descarga se produzca la ejecución de una familia de malware destinada a comprometer la seguridad del dispositivo empleado por el usuario.

Más común aún resulta que, tras la celebración del sorteo, los ciberdelincuentes envíen falsas notificaciones a los usuarios suplantando al organismo en las que se utiliza la premisa de haber obtenido algún premio sustancial por el décimo adquirido. Todo ello con la finalidad de recopilar información sensible, tanto personal como financiera, empleando como pretexto una presunta necesidad de información o verificación de identidad con las que poder tramitar el obsequio económico. Así, la mezcla de nerviosismo, alegría e ilusión, que puede provocar en el receptor del mensaje una comunicación de esta índole, puede hacer menos proclives a los individuos a permanecer alerta y a comprobar el origen del contacto, lo que puede derivar en la toma de una decisión precipitada por su parte que, sin ser conscientes de ello, los perjudique.

Ilustración 3. Smishing referente a un presunto premio en la lotería. Fuente: Grupo de Delitos Telemáticos de la Guardia Civil (Facebook)

En este caso, es común que la comunicación entre el atacante y la víctima se efectúe tanto mediante correo electrónico y SMS, puesto que estas vías permiten a los ciberactores llegar a un gran número de usuarios utilizando pocos recursos; como mediante llamadas telefónicas, dado que el auge del vishing junto con el uso de tácticas de automatización de la voz humana y de deepfakes permiten no solo llegar a un elevado número de individuos, sino, además, proporcionar mayor confiabilidad en el receptor, que interactúa o bien con otro ser humano (“movimiento de confianza hacia el otro”) o bien con una inteligencia artificial (IA) que simula serlo. Además, al igual que en el caso precedente, es habitual que a la comunicación fraudulenta le acompañe la utilización de una página web de phishing en la que se suplanta a Loterías y Apuestas del Estado para conseguir que los usuarios rellenen formularios de información predefinidos que proveen de toda clase de datos a los atacantes con los que cometer fraudes y estafas en el ciberespacio. 

En todos estos casos, y de la misma forma en que ocurre en campañas de phishing que utilizan otra clase de señuelos, existen variantes en las que el objetivo final de la acción consiste en el despliegue de una determinada familia de malware en el dispositivo de los usuarios, que son propagadas mediante archivos adjuntos a los mensajes de correo electrónico o que han sido insertadas en los sitios web falsos que suplantan a la Administración. Así, resulta común entre los cibercriminales la utilización de malware de tipo spyware, destinado al robo de información sensible, y, más específicamente, el uso de bankers, con funcionalidades basadas en el robo de información bancaria. 

Por su parte, en el mes de noviembre se ha alertado por distintos organismos y fuerzas policiales de la nación del auge de la ya tradicional estafa del “tocomotxo”, según la cual un desconocido contacta a otras personas para indicarles que posee un décimo o, en general, cualquier boleto de lotería premiado que no puede cobrar por alguna cuestión personal, por lo que ha decidido vender este bien a cambio de una cantidad considerablemente inferior a la gratificación que se recibiría una vez cobrado el premio. Para fomentar la confianza de las víctimas potenciales de la acción en la afirmación del desconocido, lo más común, según afirman las autoridades, es que el fraude se realice con el actor personado en las inmediaciones de una administración de lotería, si bien, con la expansión del uso del ciberespacio, no se puede descartar que esta estafa tan conocida sea adaptada para su difusión mediante redes sociales, mensajes de correo electrónico, etcétera, como una posible forma de evolución de las cartas nigerianas. 

Para finalizar, teniendo en cuenta la ya cercana celebración del sorteo y el previsible aumento de ventas de Lotería de Navidad las próximas semanas, se ha considerado pertinente reunir aquí diez recomendaciones dirigidas a los participantes del Sorteo Extraordinario de Navidad, con la finalidad de evitar su afectación por un posible ciberataque relacionado con los fraudes reseñados en los párrafos precedentes: 

• En primer lugar, se debe acudir siempre a los puestos de administración oficiales y autorizados para realizar la compra de cualquier décimo de Lotería de Navidad. En el caso de la adquisición de décimos en la red, resulta preciso que el usuario compruebe previamente que el sitio web accedido pertenece a una administración verídica y revise que la página contiene el dominio oficial de la administración a la que deseaba acceder. 
• En segundo lugar, es recomendable efectuar el pago de los décimos a través de tarjetas prepago o con límite, así como mediante intermediarios como PayPal, evitando de este modo introducir los datos bancarios más sensibles (número de tarjeta completo, fecha de caducidad y CVV) en cualquier sitio web de terceros. 
• En tercer lugar, con la finalidad de comprobar que la transacción es fiable y verdadera, resulta preciso que el individuo que ha realizado la compra solicite un comprobante o justificante de pago por la compra del décimo. En el caso de las páginas web oficiales, lo más habitual es que tanto el justificante como el décimo se transmitan a la dirección de correo electrónico del sujeto tras verificarse la transacción. 
• En cuarto lugar, es preciso verificar la autenticidad del décimo adquirido. Para ello, se debe atender a su precio, puesto que nunca será inferior a 20 euros, y comprobar si posee el logotipo oficial y el sello o código de la administración en la que se ha efectuado la compra. Además, los décimos oficiales deben incorporar un sello holográfico, un código de barras y un número de serie único. No obstante, en caso de duda, se puede comprobar la autenticidad del décimo en un punto de venta oficial. 
• En quinto lugar, en caso de realizar la compra del décimo en conjunto con otra persona, es recomendable redactar un documento que acredite que la transacción se ha realizado en modalidad compartida, especificando a tal fin el nombre completo de todos los intervinientes, su DNI y especificando a quién se encarga la custodia del décimo hasta que se celebre el sorteo el 22 de diciembre. 
• En sexto lugar, resulta especialmente conveniente mantenerse cautelosos en relación con las notificaciones y comunicaciones que puedan llegar al correo electrónico y a la mensajería SMS, prestando especial atención al origen del mensaje, comprobando si su remitente es conocido o no y a la finalidad del escrito, evitando cualquier interacción en caso de sospecha. En este sentido, es recomendable no acceder a enlaces externos que soliciten información sensible y no descargar archivos cuyo origen se desconozca. 
• En séptimo lugar, es preciso que el usuario se dirija únicamente a los puntos de venta autorizados para comprobar si el décimo ha sido premiado, no prestando atención a posibles llamadas telefónicas que pudiese recibir en las que se refiera esta premisa. Al igual que en el punto anterior, no se debe divulgar información sensible a través de cualquier cauce distinto al oficial y, en caso de recibir llamadas de remitentes desconocidos, es recomendable incluir los números de teléfono implicados en las listas de spam del dispositivo y bloquearlos. 
• En octavo lugar, resulta recomendable no compartir a través de redes sociales imágenes del décimo adquirido, ya que estos poseen información de valor, como su numeración y serie, y puede permitir a un potencial atacante suplantar la identidad del propietario, tratar de reclamar el premio en su caso o ser contactado por cibercriminales que afirmen pertenecer a la administración de lotería para solicitar información. 
• En noveno lugar, es preciso recordar que nunca se exigirá al sujeto premiado por la Lotería de Navidad realizar ningún pago para acceder al premio. 
• En décimo y último lugar, se recomienda contactar con las autoridades pertinentes y con la agencia nacional de Loterías y Apuestas del Estado ante la sospecha de haber adquirido un décimo de Lotería de Navidad falso o de haberse convertido en víctima de una estafa relacionada con el sorteo.

Y hasta aquí la entrada de hoy. Esperamos que os haya sido útil y que os haya gustado. ¡No dudéis en compartirlo para que llegue a más personas! 

¡Hasta la próxima!

Bibliografía 

• Albors, J. (2020). Phishing a Loterías y Apuestas del Estado roba credenciales de email. Blog Protegerse. Disponible en: https://blogs.protegerse.com/2020/11/05/phishing-a-loterias-y-apuestas-del-estado-roba-credenciales-de-email/
• Bonilla, A. (2023). Este es el método para saber si un décimo de Lotería de Navidad es falso o no. El Español. Disponible en:  https://www.elespanol.com/loterias/loteria-navidad/metodo-saber-decimo-loteria-navidad-falso-no/807669429_0.html 
• García, A. (2023). Lotería de Navidad 2023: cómo evitar que nos engañen con un décimo falso. La Razón. Disponible en:  https://www.larazon.es/loteria/loteria-de-navidad/loteria-navidad-2023-como-evitar-que-nos-enganen-decimo-falso_20231107654a7541f6ca720001ef5b59.html 
• García, A. (2023). Por qué es peligroso compartir tu décimo de la Lotería de Navidad por Whatsapp o Telegram. La Razón. Disponible en:  https://www.larazon.es/loteria/loteria-de-navidad/que-peligroso-compartir-decimo-loteria-navidad-whatsapp-telegram_20231110654db9e3f6ca720001f60b07.html 
• Grupo de Delitos Telemáticos (2021). Facebook. Disponible en: https://www.facebook.com/photo/?fbid=4269730766384464
• Méndez, M. (2022). La Policía Nacional alerta: cuidado con estas estafas al comprar Lotería de Navidad. Onda Cero. Disponible en:  https://www.ondacero.es/loteria-navidad/policia-nacional-alerta-cuidado-estafas-comprar-loteria-navidad2022_202211166374a6a5c3e4900001bcbeef.html 
• Piccini, M. (2023). Saltan las alarmas de los Mossos por la estafa de la Lotería: perderás todo el dinero. E-Notícies. Disponible en:  https://es.e-noticies.cat/sucesos/saltan-alarmas-mossos-estafa-loteria-perderas-todo-dinero 
• Policía Nacional (2022). Twitter. Disponible en: https://twitter.com/policia/status/1592082659957669888 
• Sin autor (2022). ¡Cuidado! ¿Posible estafa con la Lotería de Navidad? Ramis Abogados. Disponible en: https://ramisabogados.com/estafas-loteria-navidad/ 
• Sin autor. Arranca la venta de Lotería de Navidad en toda España con 185 millones de décimos, cinco más que en 2022. RTVE. Disponible en: https://www.rtve.es/noticias/20230712/loteria-navidad-2023-arranca-venta-decimos/2451841.shtml

^[1] Sin autor. Arranca la venta de Lotería de Navidad en toda España con 185 millones de décimos, cinco más que en 2022. RTVE. Disponible en: https://www.rtve.es/noticias/20230712/loteria-navidad-2023-arranca-venta-decimos/2451841.shtml

Raquel Puebla González e Itxaso Reboleiro Torca, Analistas de Ciberinteligencia en Innotec Security, Part of Accenture

Raquel Puebla González

• Raquel Puebla González
• Raquel Puebla González

Itxaso Reboleiro Torca

• Itxaso Reboleiro Torca