Ciberdelincuentes explotan fallos en sitios web de empresas latinoamericanas para alojar páginas falsas de Spotify y robar datos financieros a los usuarios.
El ecosistema del cibercrimen en Latinoamérica ha evolucionado hacia tácticas que combinan la explotación técnica con el engaño psicológico. Recientemente, la compañía de seguridad informática ESET ha detectado una campaña de phishing altamente sofisticada que utiliza la imagen de Spotify para atraer a las víctimas. Lo novedoso y peligroso de este ataque es que los sitios fraudulentos no se alojan en dominios extraños o mal escritos, sino que se ocultan dentro de los sitios web legítimos de pequeñas y medianas empresas (pymes) de la región que han sido previamente vulnerados.
Esta modalidad genera una falsa sensación de seguridad. Al navegar por un dominio válido y ver el candado de seguridad HTTPS, el usuario tiende a bajar la guardia. Los atacantes aprovechan vulnerabilidades comunes en las pymes, como sistemas de gestión de contenidos (CMS) desactualizados, plugins inseguros o contraseñas administrativas débiles, para inyectar archivos maliciosos y crear una copia visualmente idéntica al servicio de streaming.
Casos reales en la región
ESET identificó ejemplos concretos en el Cono Sur. En Chile, un centro especializado en odontología de la Quinta Región vio su sitio comprometido para alojar el fraude. El proceso es engañosamente simple: primero se solicitan las credenciales de acceso y, posteriormente, se conduce a la víctima a una página de «actualización de método de pago» donde debe entregar sus datos bancarios. Un caso similar ocurrió en Argentina con el sitio web de una empresa de neumáticos, utilizado para capturar nombres de usuario y contraseñas.
“Para las pymes, esta estafa revela un problema estructural ya que la falta de mantenimiento y de medidas básicas de seguridad en sus sitios web las expone a incidentes propios y las convierte en plataformas involuntarias de fraude a gran escala», comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica. Según la experta, el impacto para la empresa puede incluir el bloqueo por parte de buscadores y la pérdida total de confianza de sus clientes.
Riesgos y recomendaciones
Para el usuario, las consecuencias son graves. El robo de credenciales permite a los atacantes acceder a otras cuentas si se repiten las contraseñas, realizar fraudes financieros directos o vender la información en mercados clandestinos. Por ello, es vital verificar siempre el dominio completo en la barra de direcciones y no solo confiar en la apariencia visual o el candado verde.
Desde el lado de las empresas, la prevención es fundamental. ESET recomienda realizar auditorías periódicas, mantener todos los sistemas y complementos actualizados al día, y utilizar siempre el doble factor de autenticación para los accesos administrativos. La seguridad digital no es solo una barrera técnica, sino un componente crítico de la reputación de cualquier negocio en la actualidad.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
