Canjear puntos de gasolina por premios?: Ojo, nueva estafa por mensajes de texto en Colombia  

 

Expertos de Kaspersky advierten sobre una campaña fraudulenta en el país que suplanta programas de fidelización de estaciones de gasolina para robar información financiera.

 

Agosto de 2025

 

Investigadores de Kaspersky han detectado una nueva campaña de phishing dirigida a usuarios en Colombia, que busca robar credenciales y datos de pago a través de mensajes de texto (SMS) fraudulentos. Esta estafa se disfraza como una supuesta promoción para canjear puntos acumulados en un programa de fidelización de una red de estaciones de servicio.

 

Los mensajes, enviados desde números locales, advierten a los usuarios sobre una supuesta acumulación de puntos próxima a vencer o la oportunidad de canjearlos por premios exclusivos. El objetivo es inducir a las víctimas a ingresar a sitios web falsos. Una vez allí, se les solicita resolver un pequeño cálculo matemático para verificar que no son robots y luego ingresar su número de cédula.

 

Posteriormente, son redirigidos a una página que imita fielmente el diseño del sitio oficial del programa de fidelización, donde se exhiben productos como computadores, parlantes, electrodomésticos y otros artículos atractivos. Al seleccionar alguno de estos “premios”, el usuario es llevado a una nueva página en la que se le solicita información personal y bancaria, con el pretexto de cubrir un supuesto costo mínimo por el envío del obsequio.

 

 

 

Ejemplo de mensaje SMS de la campaña maliciosa.

 

 

 

 

Ejemplo de sitio web falso que busca robar credenciales bancarias.

 

 

El equipo de investigadores ha rastreado el origen del ataque a grupos de habla china, que replicaron la estructura original del sitio legítimo. El código fuente incluso contiene caracteres en chino, evidencia del origen del fraude.

 

 

 

Elementos técnicos de la campaña fraudulenta.

 

Hasta el momento, se han identificado al menos 28 dominios registrados bajo la extensión .co y otros dominios alternativos, todos utilizando variaciones del nombre del programa para aparentar legitimidad.

 

Además, los atacantes han intentado replicar el mismo modelo utilizando nombres de otras compañías del sector energético en América Latina.

 

Este tipo de estafa se ha vuelto cada vez más común, especialmente cuando se asocia con beneficios populares, como los programas de puntos por consumo de combustible. El objetivo principal es obtener información confidencial que luego puede ser utilizada para cometer fraudes financieros. De hecho, según el reciente estudio Lenguaje Digital, realizado por Kaspersky, el 25% de los colombianos no sabe identificar un mensaje falso, el 40% no logra reconocer un sitio web fraudulento, y un 4% aún hace clic en enlaces de mensajes de texto que solicitan datos de verificación, lo que los deja expuestos a estafas digitales.

 

“Esta campaña es un ejemplo claro de cómo los ciberdelincuentes adaptan sus tácticas para explotar hábitos cotidianos, como el uso de programas de puntos por consumo. Al replicar visualmente plataformas legítimas y utilizar dominios muy similares al original, logran engañar incluso a usuarios precavidos. En este caso, el mensaje se apoya en la urgencia —como el vencimiento de puntos o la promesa de premios— para forzar decisiones impulsivas. Además, hemos identificado elementos técnicos que apuntan a actores de habla china, como fragmentos del código con caracteres asiáticos y un patrón de dominios registrados en masa, lo que demuestra un nivel de planificación avanzado. Este tipo de ataques no solo busca credenciales de acceso, sino directamente datos bancarios, lo que lo convierte en una amenaza crítica para los usuarios”, aseguró Fabio Assolini, director del Equipo Global de Investigación y Análisis, América Latina, en Kaspersky.

 

A pesar del aumento de este tipo de fraudes, con información oportuna, buenas prácticas digitales y una actitud vigilante, es posible evitar ser víctima de estas estafas. Tomarse el tiempo para verificar la autenticidad de los mensajes, desconfiar de las promesas demasiado atractivas y saber identificar señales de alerta puede marcar la diferencia entre caer en una trampa o mantenerse seguro en línea.

Para evitar este tipo de vulneraciones o robo de credenciales, los especialistas de Kaspersky recomiendan:

 

Desconfía de mensajes que prometen canjes de puntos o premios por tiempo limitado; suelen ser un método para generar urgencia y robar tus datos.

Evita ingresar información personal o financiera en enlaces recibidos por SMS; accede siempre al sitio oficial escribiendo la dirección manualmente.

Revisa con atención la dirección web antes de interactuar con cualquier sitio; los estafadores usan dominios casi idénticos al original para engañar.

Protege tus datos con soluciones de seguridad avanzadas y confiables como Kaspersky Premium, que detecta y bloquea sitios fraudulentos antes de que representen un riesgo.

 

Para más información para proteger tu vida digital, visita nuestro blog.

 

 

Acerca de Kaspersky

Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma constantemente en soluciones y servicios innovadores para proteger a individuos, empresas, infraestructuras críticas y gobiernos en todo el mundo. El completo portafolio de seguridad de la empresa incluye protección líder para la vida digital de dispositivos personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de personas y a cerca de 200,000 clientes corporativos a proteger lo que más valoran. Más información en: www.kaspersky.com

 

 

Kaspersky en redes sociales:

 

X: @KasperskyLatino IG: Kaspersky Latinoamérica

 

FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica