Ciberdelincuentes usan sitios web legítimos para alojar páginas falsas de Spotify y robar credenciales y datos bancarios. Así opera la estafa.
Publicado por: Redacción Tecnología
Spotify es la plataforma líder mundial de streaming de música, podcast y video, fundada en Suecia en 2006, con más de 700 millones de usuarios activos mensuales.
En el caso de Colombia, Spotify cuenta con aproximadamente 9 millones de usuarios en Colombia, consolidándose como uno de los principales mercados en la región. Esta cifra representa cerca del 18% de la población total del país, lo que evidencia el alto nivel de adopción del streaming musical.
Sobre esta plataforma, expertos en ciberseguridad encendieron las alarmas por una nueva amenaza digital que utiliza páginas falsas de Spotify alojadas dentro de sitios web legítimos para robar credenciales y datos financieros de los usuarios. Además: Spotify bajo ataque: hackers dicen haber robado el 99 % del catálogo
La compañía especializada en detección de amenazas ESET informó que identificó al menos dos casos recientes en América Latina, donde ciberdelincuentes explotaron vulnerabilidades de páginas web de pequeñas y medianas empresas (pymes) para suplantar la identidad del popular servicio de streaming musical.
Según la investigación, los atacantes aprovechan sitios comprometidos de empresas reales —con dominios legítimos— para alojar copias visualmente idénticas de Spotify, lo que incrementa la confianza del usuario y dificulta la detección del fraude.
“La combinación de una marca reconocida con un dominio válido genera una falsa sensación de seguridad. Muchas personas solo revisan el candado HTTPS y no el dominio completo”, explicó Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
¿Cómo opera la estafa de páginas falsas de Spotify?
Los ciberdelincuentes acceden a sitios vulnerables mediante CMS desactualizados, plugins inseguros o contraseñas débiles. Una vez dentro, cargan páginas falsas que simulan ser de Spotify.
Posteriormente, los enlaces fraudulentos son distribuidos por: Correos electrónicos de phishing; Anuncios maliciosos; Redes sociales y Mensajes directos.
Publicidad
Los mensajes suelen apelar a situaciones comunes como problemas de pago, renovación de cuenta o verificación de seguridad. Cuando la víctima ingresa sus datos de acceso o bancarios, la información es enviada directamente a los servidores de los atacantes.
Casos detectados en la región de estafa a través de páginas falsas de Spotify
Entre los ejemplos identificados por ESET se encuentran:
- Un centro odontológico en Chile, cuyo sitio web fue vulnerado para alojar páginas falsas que solicitaban datos financieros.
- Una empresa argentina de venta de neumáticos, cuya web comprometida se utilizó para robar credenciales de acceso a Spotify.
En ambos casos, las pymes afectadas se convirtieron en plataformas involuntarias de fraude, afectando tanto a los usuarios como a su propia reputación digital.
