Miles de usuarios de internet ya estamos acostumbrados a prestar atención a mensajes extraños que lleguen a sus correos electrónicos, botones llamativos en páginas web que redirigen a páginas maliciosas y un largo etcétera de las modalidades más frecuentes que ciberdelincuentes usan para intentar robarnos día a día, pero el phishing ya no siempre llega desde una URL o un dominio imposible de pronunciar.
En Colombia y varios países de América Latina una de las variantes más efectivas de esta estafa ahora se esconde también en sitios web legítimos.
Páginas reales de pequeñas y medianas empresas, vulneradas por fallas de seguridad básicas, están siendo utilizadas como plataforma para alojar copias casi idénticas de servicios conocidos y robar credenciales y datos financieros sin levantar sospechas.
A esa lógica responde una alerta reciente del laboratorio de ciberseguridad ESET, que identificó dos campañas activas en que criminales aprovecharon sitios web comprometidos de pymes para alojar páginas falsas que suplantan la imagen de Spotify. El engaño se vuelve más efectivo porque las páginas fraudulentas quedan alojadas dentro de dominios reales y confiables, lo que reduce las señales de alerta para los usuarios.
El mecanismo es sencillo. Los atacantes explotan vulnerabilidades comunes (como CMS desactualizados, plugins inseguros o credenciales débiles) para subir archivos maliciosos a un sitio legítimo.
Una vez dentro, publican una copia casi idéntica del servicio suplantado y distribuyen el enlace por correos electrónicos, anuncios o mensajes directos. Cuando la víctima ingresa sus credenciales o datos financieros, la información es enviada directamente a los servidores de los cibercriminales.
“Para las pymes, esta estafa revela un problema estructural: la falta de mantenimiento básico las expone a incidentes propios y las convierte en plataformas involuntarias de fraude”, comenta Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
El impacto, señala, puede extenderse a la pérdida de confianza, bloqueos por navegadores y buscadores, y riesgos de reinfección si no se corrige la vulnerabilidad inicial.
La compañía documentó dos casos recientes en la región. En Chile, el sitio web de un centro odontológico fue utilizado para alojar páginas falsas que primero solicitaban credenciales y luego datos bancarios bajo la excusa de actualizar el método de pago. En Argentina, una empresa dedicada a la venta de neumáticos fue comprometida con el objetivo de robar accesos a cuentas del servicio de streaming.
Estas campañas generan un escenario de doble afectación. Los usuarios pueden enfrentar robo de credenciales, fraudes financieros y pérdida de control de sus cuentas, mientras que las pymes ven comprometida su reputación digital, su posicionamiento en buscadores y deben asumir costos de remediación y seguridad.
Lea también: ¿No es tan seguro? Una demanda acusa a Meta de acceder a los chats de WhatsApp de sus usuarios
Desde ESET recomiendan a los usuarios verificar siempre el dominio completo antes de ingresar información sensible y desconfiar de enlaces inesperados. Para las empresas, el llamado es a reforzar la higiene digital: mantener sistemas actualizados, usar contraseñas únicas con doble factor de autenticación e implementar monitoreo y auditorías periódicas de sus sitios web.
Regístrate al newsletter