Durante años, identificar un sitio fraudulento parecía relativamente sencillo: dominios extraños, errores visuales evidentes o direcciones web mal escritas. Sin embargo, el phishing evolucionó. Hoy, uno de los métodos más efectivos del cibercrimen consiste en ocultarse dentro de páginas legítimas, aprovechando vulnerabilidades técnicas de empresas reales y utilizando marcas globales para engañar a los usuarios.
Ese es el escenario que ESET detectó recientemente en América Latina, donde ciberdelincuentes lograron alojar páginas falsas de Spotify dentro de dominios auténticos de pequeñas y medianas empresas, con el objetivo de robar credenciales de acceso y datos financieros. El ataque no solo afecta a quienes caen en el engaño, sino también a las empresas cuyas webs fueron comprometidas sin saberlo.
De acuerdo con datos de la industria, el phishing continúa siendo una de las principales puertas de entrada a incidentes de seguridad. Según el Verizon Data Breach Investigations Report, más del 70% de las brechas de seguridad involucran algún tipo de ingeniería social, y el correo electrónico sigue siendo el canal principal de distribución. Sin embargo, el verdadero cambio está en el destino final del engaño.
“El dominio comprometido es real, tiene historial y cuenta con certificados HTTPS, lo que reduce significativamente las alertas automáticas y la desconfianza del usuario”, explica Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
¿Cómo funciona el engaño? Aquí te decimos el paso a paso
El análisis técnico de ESET revela que el ataque comienza con la explotación de vulnerabilidades comunes: CMS desactualizados, plugins inseguros o credenciales administrativas débiles. Una vez que los atacantes obtienen acceso al sitio, suben archivos que replican la apariencia visual del servicio de streaming.
Desde ahí, los enlaces a las páginas falsas se distribuyen mediante correos de phishing, anuncios maliciosos o mensajes directos en redes sociales. El señuelo suele ser cotidiano: un problema de pago, la necesidad de verificar la cuenta o una supuesta renovación del servicio.
“La estafa funciona porque apela a hábitos normales del usuario y se apoya en señales de confianza como una marca reconocida y un dominio válido”, advierte López. Cuando la víctima ingresa sus credenciales o datos financieros, la información se envía directamente a servidores controlados por los atacantes.
ESET documentó dos casos concretos en la región que reflejan esta práctica. En Chile, el sitio web de un centro odontológico fue comprometido y utilizado para alojar una página falsa de Spotify. Allí, las víctimas ingresaban primero sus credenciales y luego sus datos bancarios bajo la promesa de actualizar el método de pago.
Un caso similar ocurrió en Argentina, donde el sitio de una empresa de neumáticos fue utilizado como plataforma para robar accesos a cuentas del servicio de streaming.
“Estas campañas crean un escenario de doble impacto: el usuario pierde información sensible y la pyme se convierte en parte de una cadena de fraude sin saberlo”, señala la investigadora de ESET.
El costo oculto para los usuarios: credenciales que abren más puertas
El robo de credenciales no se limita a una sola plataforma. Estudios de ciberseguridad indican que más del 60% de las personas reutiliza contraseñas, lo que permite a los atacantes probar accesos en otros servicios, desde correos electrónicos hasta plataformas financieras.
Además del fraude económico directo, una cuenta comprometida puede ser utilizada para enviar spam, realizar estafas a contactos cercanos o facilitar ataques dirigidos más sofisticados. La exposición de datos personales, hábitos de consumo y correos electrónicos amplía el riesgo a largo plazo.
Para las pequeñas y medianas empresas, el impacto puede ser igual o más severo. Un sitio comprometido puede ser marcado como peligroso por navegadores o motores de búsqueda, afectando su tráfico y reputación digital. A esto se suman costos de remediación, auditorías, restauración de respaldos y posibles implicaciones legales si se exponen datos personales.
“Muchas pymes no cuentan con los recursos ni la madurez en ciberseguridad necesarios para proteger sus sitios web. Eso las convierte en blancos fáciles y, sin quererlo, en facilitadoras de fraudes masivos”, afirma López.
