Cómo una nueva ola de phishing aprovecha dominios reales de pymes para robar contraseñas y datos bancarios sin levantar sospechas
Por: Rodrigo Pujol Del Toro
En el mundo del cibercrimen, las estafas más peligrosas ya no son las más evidentes, sino las que parecen completamente normales. De acuerdo con una alerta reciente de ESET, en Latinoamérica se han detectado campañas de fraude digital que utilizan dominios legítimos de empresas reales para alojar páginas falsas de Spotify, con el objetivo de robar credenciales de acceso y datos financieros de los usuarios.
La técnica combina dos elementos clave: vulnerabilidades en sitios web de pymes y la suplantación de marcas de alto nivel de confianza. El resultado es una estafa difícil de detectar incluso para usuarios atentos, ya que el engaño no ocurre en un dominio extraño, sino dentro de una web real y reconocible.
En los últimos días, investigadores de ESET identificaron dos casos concretos en América Latina donde ciberdelincuentes comprometieron sitios de pequeñas y medianas empresas para incrustar copias casi idénticas de Spotify. Estas páginas fraudulentas se alojaban dentro del dominio original de la empresa, lo que genera una falsa sensación de seguridad al combinar el “candado HTTPS” con una marca ampliamente conocida.
“Para las pymes, este tipo de ataques revela un problema estructural. La falta de mantenimiento y de medidas básicas de seguridad no solo las expone a incidentes propios, sino que las convierte en plataformas involuntarias de fraude a gran escala”, explica Martina López, investigadora de seguridad informática de ESET Latinoamérica.
Cómo funciona la estafa paso a paso
El mecanismo detrás de estas campañas sigue un patrón claro:
Primero, los atacantes explotan vulnerabilidades comunes como CMS desactualizados, plugins inseguros o contraseñas débiles para subir archivos maliciosos a un sitio web real.
Después, alojan dentro de ese dominio una página falsa de Spotify, visualmente idéntica a la original.
Más tarde, el enlace se distribuye mediante correos de phishing, anuncios, redes sociales o mensajes directos.
Finalmente, cuando la víctima ingresa su usuario, contraseña o datos bancarios, la información se envía directamente a los servidores de los delincuentes.
“La efectividad del engaño se basa en cuatro factores: dominio legítimo, marca confiable, uso de HTTPS y pretextos cotidianos como problemas de pago o verificación de cuenta”, advierte López.
Casos reales detectados en la región
Uno de los casos ocurrió en Chile, donde el sitio web de un centro odontológico fue vulnerado y utilizado para alojar páginas falsas de Spotify que solicitaban primero credenciales y después información bancaria bajo el pretexto de “actualizar el método de pago”.
Otro incidente se detectó en Argentina, en la web de una empresa de venta de neumáticos, donde el objetivo era robar directamente las credenciales de acceso a Spotify de los usuarios.
En ambos escenarios, la víctima creía estar navegando en un sitio seguro, sin saber que el dominio había sido comprometido.
“Estas campañas generan un escenario de doble víctima: el usuario engañado y la pyme cuya web fue comprometida”, subraya la especialista.
Riesgos reales para los usuarios
Las consecuencias de caer en este tipo de phishing van más allá de perder una cuenta de streaming. Entre los principales riesgos están el robo y reutilización de contraseñas en otros servicios, fraude financiero con tarjetas comprometidas, pérdida de control de cuentas y exposición de datos personales que pueden facilitar ataques dirigidos posteriores.
Por ello, ESET recomienda verificar siempre el dominio completo, desconfiar de enlaces inesperados, utilizar gestores de contraseñas, activar el doble factor de autenticación y evitar ingresar datos financieros desde enlaces recibidos por mensaje o correo.
El impacto oculto para las pymes
Para las empresas cuyos sitios son utilizados como plataforma de fraude, el daño puede ser profundo: pérdida de reputación, bloqueos por navegadores y buscadores, afectaciones en SEO, costos elevados de remediación, riesgos legales y la posibilidad de reinfección si no se corrige la vulnerabilidad de origen.
“Cuando una pyme no protege su sitio web, puede convertirse sin saberlo en un eslabón clave de una cadena de fraude que afecta a cientos de usuarios”, concluye Martina López.
En un entorno digital cada vez más sofisticado, la seguridad ya no es solo un tema técnico: es reputación, confianza y supervivencia digital. Porque hoy, el mayor riesgo no es entrar a un sitio falso, sino a uno que parece completamente real.
#Ciberseguridad #Phishing #Spotify #ESET #FraudesDigitales #Pymes #ThunderMX
