Una campaña fraudulenta de encuestas a consumidores en el Reino Unido se hace pasar por importantes marcas minoristas
16 de abril de 2026
Por Samantha Clarke, Archa Archa, Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast
- En los últimos 90 días se ha registrado una campaña de phishing multimarca con más de 42 000 casos dirigida a consumidores del Reino Unido, mediante estafas en las que se suplantaba la identidad de Boots y Superdrug.
- La promesa de obsequios o recompensas a cambio de completar encuestas falsas de satisfacción del cliente
- Recopilación de una gran cantidad de datos personales y de tarjetas de pago para cobrar de forma fraudulenta unos gastos de envío de 2,95 £ en ""
- Infraestructura de phishing alojada en depósitos de AWS S3, que utiliza dominios comprometidos como páginas de destino
- Las réplicas de las páginas web de marcas legítimas aumentan la confianza de las víctimas y las tasas de envío de credenciales
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado un conjunto de campañas de phishing dirigidas a consumidores del Reino Unido, en las que se suplantaba la identidad de conocidas marcas minoristas y proveedores de servicios. Estas campañas utilizan tácticas de ingeniería social que prometen regalos gratuitos, recompensas exclusivas o acciones urgentes relacionadas con la cuenta para inducir a los destinatarios a facilitar información personal y datos de pago.
A diferencia de las campañas tradicionales de phishing, que se basan en gran medida en el robo de credenciales, estas operaciones combinan varias fases de recopilación de datos: primero recogen datos personales a través de encuestas falsas y, a continuación, obtienen información de pago bajo el pretexto de gastos de envío o de tramitación simbólicos. La tarifa de envío de 2,95 £ de « "» (" ) es una cantidad calculada minuciosamente: lo suficientemente baja como para no despertar sospechas inmediatas, pero lo suficientemente elevada como para validar los datos de tarjetas de pago robadas con vistas a su uso fraudulento en el futuro.
Flujo de ataque e infraestructura técnica
Las campañas siguen un patrón de ataque coherente que consta de varias fases:
- Contacto inicial: Los destinatarios reciben correos electrónicos con asuntos urgentes o atractivos que hacen referencia a actualizaciones de la cuenta, problemas de entrega o recompensas exclusivas.
- Entrega de la página de destino: las URL dirigen a las víctimas a páginas de phishing alojadas inicialmente en buckets de AWS S3, antes de redirigirlas a dominios comprometidos o controlados por los atacantes
- Suplantación de marcas: las páginas de destino presentan réplicas casi idénticas, al píxel, de los sitios web legítimos de las marcas, incluyendo logotipos, diseño y maquetación auténticos.
- Participación en encuestas: Las víctimas rellenan encuestas falsas de satisfacción del cliente en las que se les solicita su opinión sobre productos o servicios
- Selección de recompensas: Una vez completada la encuesta, las víctimas eligen entre varias opciones de recompensa de "y" (normalmente, productos para el cuidado de la piel, tarjetas regalo o artículos promocionales).
- Recopilación de datos personales: En el primer formulario se solicitan el nombre completo, la dirección postal, el número de teléfono y la dirección de correo electrónico.
- Recopilación de datos de pago: El segundo formulario recoge los datos completos de la tarjeta de pago (número de tarjeta, fecha de caducidad y CVV) para abonar los 2,95 £ de gastos de envío de "."
- Redirección a un sitio web legítimo: tras el envío de los datos, se redirige a las víctimas al sitio web auténtico de la marca, creando la impresión de que se trata de una transacción legítima
Caso práctico: Estafa relacionada con una encuesta de Boots UK
Los destinatarios de la campaña de phishing de Boots reciben uno de los dos temas principales de correo electrónico diseñados para transmitir legitimidad y resultar atractivos.
- Notificación sobre un regalo tras una encuesta: En los correos electrónicos se afirma que el destinatario ha completado recientemente una encuesta de satisfacción del cliente y que ha sido seleccionado para recibir un regalo de cortesía como agradecimiento por su participación.
- Solicitud de encuesta tras la compra: Los correos electrónicos hacen referencia a una compra reciente en Boots e invitan al destinatario a completar una breve encuesta de satisfacción del cliente, prometiéndole un regalo al finalizarla.
Ambos enfoques se basan en los patrones habituales de interacción con los clientes minoristas. Los consumidores están acostumbrados a recibir solicitudes de opiniones tras la compra y comunicaciones relacionadas con los programas de fidelización por parte de los comercios, lo que hace que estos incentivos resulten especialmente eficaces. La promesa de un regalo gratuito supone un incentivo para la participación, mientras que la referencia a la actividad reciente (ya sea inventada o basada en información procedente de una filtración de datos) aporta credibilidad al mensaje.
El análisis de la campaña de suplantación de identidad de Boots revela una implementación técnica sofisticada. La página de phishing, que inicialmente se alojaba en un depósito de AWS S3, redirige a un dominio comprometido.
La página de destino se presenta como una réplica de 1,4 MB de la página de inicio legítima de Boots.com y contiene 19 549 líneas de código HTML que reproducen el aspecto visual del sitio auténtico.
El principal elemento malicioso es una ventana modal superpuesta que se hace pasar por un banner de consentimiento de cookies de OneTrust. Un cuadro de diálogo sobre privacidad legítimo y familiar para los usuarios de Internet del Reino Unido. La ventana emergente muestra lo siguiente: "Ha sido seleccionado para participar en nuestra encuesta de satisfacción del cliente. Agradecemos enormemente sus comentarios y, como muestra de agradecimiento, tenemos un regalo especial para usted: un lote de 5 de nuestros productos para el cuidado de la piel más vendidos, cortesía de nuestro patrocinador, Skinny Tan."
Este enfoque aprovecha la familiaridad de los usuarios con los avisos de privacidad, al tiempo que genera un sentido de urgencia en torno a las recompensas exclusivas. El botón «Iniciar encuesta» ( ") de" —con un diseño idéntico al de un botón legítimo de aceptación del consentimiento de Boots— envía una solicitud POST al script PHP que inicia la secuencia de recopilación de credenciales.
Se le plantean al usuario unas cuantas preguntas que simulan una encuesta y, a continuación, se le redirige a una página en la que debe elegir entre una selección de obsequios.
Una vez seleccionado el regalo, se les redirige a un formulario en el que se recogen datos personales como el nombre, la dirección de correo electrónico o la dirección postal y la fecha de nacimiento.
En la última página, se solicita al usuario un pequeño pago de 2,95 £ en concepto de gastos de envío del regalo. Una vez que se haya procesado el pago, se redirige al usuario a la página web oficial de Boots.
Variaciones de la campaña y expansión geográfica
Aunque el objetivo principal son los consumidores del Reino Unido, los datos indican que los autores de las amenazas están ampliando sus operaciones y dirigiéndose a víctimas a nivel internacional:
Las campañas de TV Licensing aprovechan los requisitos normativos específicos del Reino Unido en materia de tenencia de televisores, lo que genera una sensación de urgencia en torno a las actualizaciones de facturación y la verificación de los datos de pago. El señuelo coincide con los períodos reales de renovación de la licencia de televisión, lo que aumenta la vulnerabilidad de las víctimas.
Las estafas relacionadas con los envíos de EVRi se aprovechan de las expectativas surgidas tras la pandemia en torno a la frecuencia de las entregas de paquetes y las notificaciones de entregas no recibidas. Estas campañas solicitan datos personales y datos de pago para "reprogramar" entregas que no existen.
La expansión internacional incluye campañas que se hacen pasar por Costco (dirigidas a varios países) y Shoppers Drug Mart (dirigidas a Canadá), lo que sugiere bien una expansión geográfica por parte del mismo actor malicioso, bien la reutilización del conjunto de herramientas por parte de operaciones afiliadas.
Indicadores de compromiso (IOC)
Campaña de Boots en el Reino Unido
Ejemplos de asuntos de correo electrónico:
- Botas: «Gift Inside» — ¡Comparta su opinión! N.º: 748893
- ¡Cuéntenos su opinión en & y disfrute de las ventajas de Boots Rewards!
- Su opinión nos importa: ¡participe hoy mismo en la encuesta de Boots! N.º: 314121
- Boots Rewards: ¡Reclame hoy mismo su regalo de la promoción « & »! N.º: 225678
- Boots™ ¡Participe en nuestra encuesta y reciba un regalo de agradecimiento! N.º: 210751
URL de phishing:
- hxxps://s3.amazonaws[.]com/customerinformationgateway/cvgr.html
- hxxps://s3.amazonaws[.]com/customerfreeproduct/bootssurveyonline.html
- hxxps://matakesiri.s3.dualstack.us-east-1.amazonaws[.]com/5.html
- hxxps://s3.amazonaws[.]com/accessgateway/jhadsuc.html
- hxxps://s3.amazonaws[.]com/bahsduhyc/getyourfreebootsgift.html
- hxxps://s3.amazonaws[.]com/recivefreegift/freesurvey.html
- hxxps://s3.amazonaws[.]com/littlescruff/8.html
Dominio de la página de destino:
- bartonsurveying[.]com
Campaña de Superdrug
Ejemplos de asuntos de correo electrónico:
- Rellene nuestra encuesta y obtenga recompensas de Superdrug
- ¡Aviso sobre un regalo! No se pierda su regalo gratuito en Superdrug
- Dénos su opinión y obtenga fantásticas recompensas de Superdrug
- ¡Comparta su opinión en & y acceda a ventajas exclusivas de Superdrug!
- Su opinión nos importa | Obtenga recompensas de Superdrug
- Su regalo de Superdrug le está esperando: recójalo ahora: Ref. 66630-7691
URL de phishing:
- hxxps://s3.amazonaws[.]com/newsmachinet/1.html
- hxxps://andiandilon.s3.dualstack.us-east-1.amazonaws[.]com/sdrug.html
- hxxps://s3.amazonaws[.]com/heilbronrose/1.html
- hxxps://s3.amazonaws[.]com/heilbronrose/6.html
- hxxps://s3.amazonaws[.]com/deltine2002y/9.html
Destinatarios
Ámbito geográfico: Principalmente el Reino Unido; en expansión hacia Canadá y los mercados internacionales
Sector: En todos los sectores
Recomendaciones
Formación en concienciación sobre seguridad para usuarios
- Informe a los empleados sobre las características específicas de esta campaña
- Forme al personal para que verifique las asignaciones de tareas inesperadas a través de canales de comunicación independientes antes de hacer clic en los enlaces
- Haga hincapié en la verificación de la autenticación: los usuarios deben comprobar siempre la barra de direcciones antes de introducir sus credenciales; las páginas de inicio de sesión legítimas de Microsoft utilizarán los dominios login.microsoftonline.com o login.microsoft.com, y no variantes de powerappsportals.com
Detección proactiva de amenazas
- Busque en los registros de recepción de correos electrónicos utilizando los indicadores de amenaza (IOC) que figuran en la lista
Consideraciones a largo plazo
Las organizaciones deben ser conscientes de que las campañas fraudulentas de encuestas se aprovechan de aspectos fundamentales de la psicología humana relacionados con la reciprocidad y las ofertas por tiempo limitado. A medida que estas campañas se vuelven más sofisticadas en cuanto a la suplantación de marcas y su implementación técnica, las estrategias de detección deben evolucionar más allá de los indicadores tradicionales para incluir el análisis del comportamiento y la evaluación contextual de las ofertas de encuestas y recompensas que se reciben por correo electrónico.
Mantenga su ventaja en materia de inteligencia sobre amenazas
Únase a los miles de profesionales de la seguridad que confían en nuestras alertas seleccionadas, nuestros análisis de expertos y los indicadores de compromiso (IOC) de nuestras campañas para defenderse de las últimas amenazas cibernéticas.
El registro se ha realizado correctamente
Le agradecemos que se haya suscrito para recibir actualizaciones sobre nuestras notificaciones de inteligencia sobre amenazas.
¡Nos pondremos en contacto con usted!