La empresa de ciberseguridad ESET informó sobre la detección de campañas de phishing en América Latina que utilizan sitios web legítimos de pequeñas y medianas empresas para alojar páginas falsas que suplantan a Spotify. El objetivo es obtener credenciales de acceso y datos financieros de los usuarios.
Podría interesarte: Niño de 11 años es acusado de asesinato por la muerte de su padre adoptivo que le castigó un Nintendo Switch
De acuerdo con la investigación, los atacantes explotan vulnerabilidades en sitios corporativos, como gestores de contenido desactualizados, complementos inseguros o contraseñas débiles. Una vez que logran acceso, cargan archivos maliciosos y publican una copia que imita la interfaz del servicio de streaming. Al estar alojada dentro de un dominio real, la página fraudulenta puede generar confianza en quienes no revisan la dirección completa del sitio.
El enlace a estas páginas se distribuye por correo electrónico, anuncios en línea, redes sociales o mensajes directos. Cuando la víctima ingresa sus datos de acceso o información bancaria, estos son enviados a servidores controlados por los atacantes.
La compañía documentó dos casos. En Chile, el sitio web de un centro odontológico fue comprometido para alojar una página que simulaba el acceso a Spotify y solicitaba actualización de método de pago. En Argentina, la página de una empresa dedicada a la venta de neumáticos fue utilizada con el mismo fin: capturar credenciales de usuarios.
Según Martina López, investigadora de seguridad informática de ESET Latinoamérica, este tipo de campañas genera un doble impacto: afecta tanto a los usuarios que entregan su información como a las empresas cuyos sitios fueron vulnerados. Entre las consecuencias para las personas se encuentran el uso indebido de credenciales en otros servicios, cargos no autorizados y pérdida de control de cuentas. Para las pymes, los riesgos incluyen afectaciones a la reputación, bloqueo del dominio por navegadores y motores de búsqueda, costos de remediación y posibles implicaciones legales si existe exposición de datos.
ESET recomienda a los usuarios verificar siempre el dominio completo antes de ingresar información, evitar enlaces recibidos de forma inesperada y activar la autenticación en dos pasos cuando esté disponible. También sugiere el uso de gestores de contraseñas.
También puedes leer: Mujer dispara contra su hija de 11 años después de perder competencia en Las Vegas
Para las empresas, la organización aconseja mantener actualizados los sistemas de gestión de contenido, aplicar contraseñas únicas con autenticación multifactor en accesos administrativos, implementar soluciones de monitoreo y realizar auditorías periódicas de seguridad.
