Hace dos días, el Museo del Prado denunciaba en redes "el intento de clonación de su página web" (puede inducir a la confusión: de intento nada, la web falsa —delpradomuseo.com— estaba muy operativa y reproducía fielmente el aspecto de la verdadera), así como "su procedimiento de venta de entradas"; esto último también puede resultar confuso: la web falsa no vendía realmente entradas…
…ofrecía su venta, sí (por una cantidad de entre 7 y 12 euros, por debajo del precio oficial), pero no generaba ningún tipo de entrada al museo tras el pago. En realidad, su principal y única finalidad era obtener información personal de los usuarios, particularmente de sus tarjetas bancarias, con el propósito de cometer fraudes más adelante.
En aquel momento, el Museo del Prado (su verdadera cuenta) solicitaba que dicha página falsa fuera "clausurada por las autoridades pertinentes". Ahora, dos días más tarde, la Policía Nacional ha logrado desactivar la web maliciosa, tras permanecer ésta sólo 6 días en activo. Una consulta rápida a WHOIS muestra que el dominio aparece ahora como 'inactivo'.
Cómo engañaban y qué hacer si tú fuiste víctima
Los investigadores detectaron que los creadores del sitio fraudulento pagaron para mejorar su posicionamiento SEO, asegurándose así de que la web apareciera en los primeros resultados de búsqueda en navegadores como Google. Además, gracias a un certificado gratuito, la web mostraba el característico candado y el "https" en la barra de direcciones.
Se dotaba así de una apariencia de seguridad bastante engañosa, puesto que ambas características sólo indican que la comunicación entre tu PC y el servidor web es segura… pero no dice nada sobre la seguridad proporcionada por el propio servidor (nula, en este caso).
Todavía se desconoce el número de personas que pudieron haber sido víctimas de esta estafa, si bien diversos medios informan que los delincuentes lograron vender "cientos" de entradas utilizando este sitio web. Las investigaciones continúan en curso para identificar a los responsables detrás de este dominio fraudulento y esclarecer los hechos en su totalidad.
Si has comprado entradas para el Museo del Prado durante esta última semana, asegúrate de haberlas recibido y de haber realizado la operación en la web real. Y si resulta que has caído víctima de esta estafa, denuncia lo ocurrido lo antes posible y notifícaselo al banco con el que tuvieras la tarjeta usada para la 'compra'.
En Genbeta | Cuidado, estos consejos de la Guardia Civil en Twitter para detectar webs fraudulentas son insuficientes