Fraude digital: Criminales explotan sitios vulnerables de pequeñas empresas para robar datos bancarios y credenciales de usuarios.
Miles de usuarios en internet ya conocen las señales clásicas de phishing: correos sospechosos, enlaces a dominios extraños o mensajes con ofertas irreales. Sin embargo, los ciberdelincuentes han refinado sus tácticas. Ahora, en Colombia y otros países de América Latina, las estafas se esconden en sitios web legítimos de pymes, que son hackeados para alojar copias falsas de plataformas como Spotify.
El laboratorio de ciberseguridad ESET detectó dos campañas activas donde criminales aprovecharon vulnerabilidades en páginas de pequeñas y medianas empresas para subir versiones fraudulentas del servicio de streaming. El engaño es más efectivo porque las páginas falsas operan bajo dominios reales y confiables, lo que reduce las alertas para las víctimas.
Cómo funciona el ataque
El mecanismo es simple pero peligroso. Los atacantes explotan fallas comunes en los sitios web, como sistemas de gestión de contenido (CMS) desactualizados, plugins inseguros o contraseñas débiles. Una vez dentro, suben archivos maliciosos que replican casi a la perfección la interfaz de servicios conocidos, como Spotify.
Luego, distribuyen el enlace fraudulento a través de correos electrónicos, anuncios o mensajes directos. Cuando un usuario ingresa sus credenciales o datos financieros, la información es enviada directamente a los servidores de los delincuentes.
Una página falsa de Spotify alojada en un sitio web legítimo de una pyme en Chile.
El doble impacto: usuarios y empresas afectadas
«Para las pymes, esta estafa revela un problema estructural: la falta de mantenimiento básico las expone a incidentes propios y las convierte en plataformas involuntarias de fraude», advierte Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
El daño no se limita al robo de datos. Las empresas comprometidas pueden enfrentar pérdida de confianza, bloqueos por parte de navegadores y buscadores, y riesgos de reinfección si no corrigen la vulnerabilidad inicial.
ESET documentó dos casos recientes en la región. En Chile, el sitio web de un centro odontológico fue utilizado para alojar páginas falsas que primero solicitaban credenciales y luego datos bancarios bajo la excusa de actualizar el método de pago. En Argentina, una empresa de venta de neumáticos fue hackeada con el mismo objetivo: robar accesos a cuentas de streaming.
Estas campañas generan un escenario de doble afectación. Los usuarios pueden sufrir robo de credenciales, fraudes financieros y pérdida de control de sus cuentas. Mientras tanto, las pymes ven dañada su reputación digital, pierden posicionamiento en buscadores y deben asumir costos adicionales para remediar el problema y reforzar su seguridad.
Recomendaciones para protegerse
- Verificar siempre el dominio completo antes de ingresar información sensible.
- Desconfiar de enlaces inesperados, incluso si provienen de sitios conocidos.
- Para las empresas: mantener sistemas actualizados, usar contraseñas robustas con doble factor de autenticación y realizar auditorías periódicas de sus sitios web.
ESET también enfatiza la importancia de implementar monitoreo constante para detectar actividades sospechosas en los sitios web corporativos.
Las pymes deben actuar con urgencia. Un sitio web vulnerable no solo pone en riesgo sus propios datos, sino que también puede convertirse en un arma para estafar a miles de usuarios.
También: Demanda contra Meta por acceder a chats privados de WhatsApp de sus usuarios
