El engaño circula por correo electrónico y busca robar datos bancarios y personales con la excusa de una supuesta promoción especial por el aniversario de la reconocida plataforma de compras.  

En los últimos días, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una nueva modalidad de estafa que llega a las bandejas de Gmail en forma de anuncios patrocinados que aparentan ser de MercadoLibre y promueven una supuesta promoción especial por el 25º aniversario de la plataforma.

Estos correos engañosos provienen de remitentes como “ML Ruleta”, “Ruleta Nueva”, “Gire ML” y “ML Online”, quienes usan el logotipo y los colores de MercadoLibre para ganar la confianza de los usuarios. En cada caso, se ha detectado que el anunciante real es una empresa brasileña y no MercadoLibre.

El enlace en los correos dirige a un sitio falso que intenta atraer a las víctimas con una promoción exclusiva de aniversario. Tras responder una encuesta de cinco preguntas, el usuario es invitado a jugar una ruleta con la promesa de obtener grandes descuentos. Al ganar, la persona es redirigida a la plataforma de pagos Hotmart, donde se le solicita el pago con tarjeta de crédito o débito para un producto inexistente. Esto no solo completa la estafa, sino que también pone en riesgo los datos financieros de la víctima.

¿Cómo opera el fraude?

El engaño comienza con un correo patrocinado que simula una promoción especial, invitando a jugar una ruleta para ganar premios. Al hacer clic en “Visitar”, la víctima es llevada a un sitio que imita a MercadoLibre, donde se le pide responder una encuesta de aniversario para acceder a una “oferta exclusiva”. Un primer indicio de alerta es que la URL no coincide con la oficial de la empresa.

Tras completar la encuesta, aparece una ruleta que garantiza al usuario obtener un descuento especial. A continuación, se muestran productos ficticios con precios notablemente bajos, una inconsistencia que podría deberse a errores de los estafadores, que también dejan partes del mensaje en portugués.

Si la víctima intenta comprar algún producto, es dirigida a la plataforma de pagos Hotmart, que, aunque legítima para el comercio, en este caso presenta un falso botón de MercadoPago (la billetera virtual de MercadoLibre). Cuando esta opción no funciona, el usuario es obligado a ingresar sus datos personales y financieros para efectuar el pago fuera de un entorno seguro.

Como parte de esta estafa, el supuesto vendedor también proporciona un correo electrónico falso que imita a MercadoLibre, reforzando aún más la ilusión de legitimidad.

Consejos de ESET para evitar caer en estas estafas:
  • Verificar el remitente: haciendo click en los tres puntos en la esquina superior del mensaje, se puede acceder al centro de anuncios de Google y allí revisar el remitente o anunciante.   
  • Si no coincide la información, o se detecta alguna inconsistencia sospechosa, lo mejor es denunciarlo ante Google en el mismo centro de anuncios, o en la página de ayuda de Google  
  • Denunciar intentos de estafa o phishing: denunciar la recepción del correo malicioso, o cualquier comunicación falsa que se reciba, a la empresa, organismo suplantado, y ante las autoridades de ciberdelito que corresponda en el país o ciudad. 
  • Como siempre se aconseja, nunca hacer click en un link sin chequear la fuente, y desconfiar de mensajes que parezcan oportunidades únicas que despierten cierta urgencia para contestar.