En el ecosistema del cibercrimen conviven múltiples amenazas, pero una de las más efectivas —y también de las más difíciles de detectar— combina dos elementos clave: la explotación de vulnerabilidades en sitios web legítimos y la usurpación de marcas reconocidas para ejecutar campañas de phishing, una técnica de engaño que busca que las personas entreguen información sensible haciéndose pasar por entidades confiables.
En este contexto, ESET, compañía especializada en detección proactiva de amenazas, alertó sobre la detección de dos casos en Latinoamérica en los que ciberdelincuentes aprovecharon vulnerabilidades en sitios web de empresas locales para alojar páginas falsas de Spotify con el objetivo de robar credenciales de acceso y datos financieros de los usuarios.
Durante los últimos días, el equipo de investigación identificó dos incidentes en los que se suplantó la imagen de la plataforma de streaming. En ambos casos, los atacantes utilizaron sitios comprometidos de pequeñas y medianas empresas (pymes) para alojar páginas que simulaban ser de Spotify dentro de dominios legítimos. Esta combinación —una marca ampliamente conocida y un dominio confiable— incrementa la probabilidad de engaño, ya que la página fraudulenta se encuentra alojada dentro de un entorno web válido, lo que refuerza la falsa sensación de seguridad entre las víctimas.
Según ESET, este tipo de ataques resulta especialmente efectivo cuando los usuarios no verifican cuidadosamente la dirección web completa antes de ingresar información sensible o financiera.
“Para las pymes, esta estafa revela un problema estructural, ya que la falta de mantenimiento y de medidas básicas de seguridad en sus sitios web las expone a incidentes propios y las convierte en plataformas involuntarias de fraude a gran escala.
El impacto incluso puede ir más allá del hackeo inicial: una empresa comprometida puede perder la confianza de clientes y socios, ser bloqueada por navegadores o buscadores y quedar atrapada en un ciclo de infecciones si no aborda el problema desde la raíz”, explicó Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
Desde el equipo de investigación de la compañía detallaron el paso a paso de este engaño. En primer lugar, los ciberatacantes explotan vulnerabilidades como gestores de contenido desactualizados, complementos inseguros o credenciales débiles para subir archivos maliciosos a un sitio web legítimo.
Una vez dentro del sitio comprometido, alojan una copia falsa del servicio que desean suplantar, visualmente idéntica a la original.
Luego, el enlace a la página fraudulenta se distribuye a través de correos de phishing, anuncios maliciosos, redes sociales o mensajes directos. Finalmente, cuando la víctima ingresa al sitio y completa sus credenciales de acceso o datos financieros, la información es enviada directamente a los servidores controlados por los atacantes.
“La efectividad de la estafa se basa en varios factores. El dominio comprometido es legítimo, lo que permite eludir filtros de seguridad básicos; la marca suplantada es conocida y confiable; y muchas personas solo verifican la presencia del candado HTTPS sin prestar atención al dominio completo.
Además, los señuelos suelen apelar a situaciones cotidianas, como la renovación de una cuenta, problemas de pago o verificaciones de seguridad”, advirtió López.
Desde ESET aseguraron que esta práctica es frecuente en América Latina y presentaron dos casos reales detectados en la región. Uno de ellos involucra a un centro odontológico de la Quinta Región de Chile, cuyo sitio web fue comprometido y utilizado para alojar páginas falsas que imitaban la identidad visual de Spotify. A través de este sitio, los atacantes solicitaban credenciales de acceso y datos financieros a las víctimas. Una vez ingresada la información bancaria, la página quedaba en espera con la promesa de procesar la solicitud, aunque en realidad los datos ya habían sido enviados a los cibercriminales.
El segundo caso corresponde a la página web de una empresa argentina dedicada a la venta de neumáticos. En este escenario, el sitio falso tenía como objetivo obtener las credenciales de acceso a cuentas de Spotify de los usuarios.
“Estas campañas generan un escenario de doble víctima: el usuario engañado y la pyme cuya web fue comprometida. Por ello, las consecuencias pueden ser muy graves tanto para las personas como para las pequeñas y medianas empresas”, subrayó la investigadora de ESET Latinoamérica.
Entre las principales consecuencias para los usuarios se encuentran el robo y la reutilización de credenciales, el fraude financiero mediante compras o suscripciones no autorizadas, la pérdida del control de cuentas y la filtración de datos personales que puede facilitar ataques dirigidos posteriores. Para reducir el riesgo de ser víctima de este tipo de estafas, ESET recomienda verificar siempre el dominio completo antes de ingresar datos personales o financieros, desconfiar de enlaces inesperados y utilizar gestores de contraseñas junto con la autenticación de doble factor.
En el caso de las pymes, un sitio comprometido puede generar daños reputacionales, bloqueos por parte de navegadores y motores de búsqueda, costos de remediación, riesgos legales y la posibilidad de reincidencia del ataque si no se corrigen las vulnerabilidades originales.
“Cuando una pyme no protege su sitio web, puede convertirse sin saberlo en un eslabón clave de una cadena de fraude que afecta a cientos de usuarios. La prevención requiere un enfoque compartido entre empresas y personas”, concluyó Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
