Te llega un mensaje. «Hay un problema con tu pago de Spotify». Nadie quiere quedarse sin música, ¿verdad? Entras al enlace. Todo se ve normal: el candado HTTPS está ahí, el diseño es idéntico al original… pero algo no cuadra.
En realidad, no estás en Spotify. Acabas de caer en una de las estafas de phishing más sofisticadas que circulan actualmente por América Latina.
Páginas falsas que se esconden donde menos lo esperas
Aquí viene lo más preocupante. Los ciberdelincuentes ya no crean sitios falsos desde cero. Ahora están hackeando sitios web reales – especialmente de pequeñas y medianas empresas – para alojar ahí sus páginas de phishing.
ESET, una de las empresas de seguridad más reconocidas, detectó varios casos recientes en México y Latinoamérica.
La técnica es tan efectiva porque combina dos elementos que generan confianza: una marca que todos conocemos (Spotify) y un dominio completamente legítimo. ¿El resultado? Incluso personas atentas pueden ser víctimas.
Cómo funciona el engaño paso a paso
Los atacantes no improvisan. Siguen una metodología clara:
- Primero, encuentran sitios web vulnerables (con sistemas desactualizados o contraseñas débiles)
- Luego suben sus páginas falsas de Spotify dentro de ese dominio legítimo
- Después distribuyen enlaces a través de correos, redes sociales o mensajes directos
- Cuando entras y pones tus datos, toda esa información viaja directo a sus servidores
La trampa está bien armada. El dominio es real, tiene su certificado HTTPS, la página se ve idéntica a Spotify. ¿Quién sospecharía?
Casos reales en la región
No estamos hablando de teorías. ESET documentó casos concretos en América Latina.
Un centro odontológico en Chile vio su sitio web hackeado. Los criminales alojaron ahí páginas falsas de Spotify que pedían credenciales de acceso y datos bancarios. La página falsa incluso tenía una pantalla de «procesando solicitud» para que todo pareciera legítimo.
También ocurrió con una empresa argentina de neumáticos. Su web fue comprometida para robar credenciales de usuarios de Spotify.
En ambos casos, las empresas ni siquiera sabían que sus sitios estaban siendo utilizados para estafar.
Por qué esta estafa es tan efectiva
Hay cuatro razones principales:
- El dominio comprometido es legítimo (así evita filtros de seguridad)
- Spotify es una marca confiable que usamos a diario
- La mayoría solo revisa el candado HTTPS, no la URL completa
- Los pretextos son situaciones comunes: renovación de cuenta, problemas de pago, verificación de seguridad
Básicamente, juegan con nuestra rutina digital. Estamos tan acostumbrados a estos avisos que actuamos en automático.
El phishing evoluciona (y debemos evolucionar nosotros)
Esta campaña muestra cómo el cibercrimen se vuelve más sofisticado. Ya no basta con verificar si hay un candado HTTPS. Los atacantes están aprovechando la infraestructura legítima de empresas reales para sus fraudes.
Las pequeñas y medianas empresas muchas veces no tienen los recursos para protegerse adecuadamente. Cuando su sitio está comprometido, sin que lo sepan se convierten en cómplices involuntarios de estafas masivas.
La prevención requiere responsabilidad compartida. Como usuarios, debemos verificar todo antes de ingresar datos sensibles. Como empresarios, debemos entender que la seguridad de nuestro sitio web no es opcional.
Fuente: WeLiveSecurity
