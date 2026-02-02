Miles de usuarios de internet ya estamos acostumbrados a prestar atención a mensajes extraños que lleguen a sus correos electrónicos, botones llamativos en páginas web que redirigen a páginas maliciosas y un largo etcétera de las modalidades más frecuentes que ciberdelincuentes usan para intentar robarnos día a día, pero el phishing ya no siempre llega desde una URL o un dominio imposible de pronunciar. En Colombia y varios países de América Latina una de las variantes más efectivas de esta estafa ahora se esconde también en sitios web legítimos.

Páginas reales de pequeñas y medianas empresas, vulneradas por fallas de seguridad básicas, están siendo utilizadas como plataforma para alojar copias casi idénticas de servicios conocidos y robar credenciales y datos financieros sin levantar sospechas. A esa lógica responde una alerta reciente del laboratorio de ciberseguridad ESET, que identificó dos campañas activas en que criminales aprovecharon sitios web comprometidos de pymes para alojar páginas falsas que suplantan la imagen de Spotify. El engaño se vuelve más efectivo porque las páginas fraudulentas quedan alojadas dentro de dominios reales y confiables, lo que reduce las señales de alerta para los usuarios.

Este es un sitio falso de Spotify alojado en la web de un centro odontológico de Chile. FOTO cortesía ESET

El mecanismo es sencillo. Los atacantes explotan vulnerabilidades comunes (como CMS desactualizados, plugins inseguros o credenciales débiles) para subir archivos maliciosos a un sitio legítimo. Una vez dentro, publican una copia casi idéntica del servicio suplantado y distribuyen el enlace por correos electrónicos, anuncios o mensajes directos. Cuando la víctima ingresa sus credenciales o datos financieros, la información es enviada directamente a los servidores de los cibercriminales.

“Para las pymes, esta estafa revela un problema estructural: la falta de mantenimiento básico las expone a incidentes propios y las convierte en plataformas involuntarias de fraude”, comenta Martina López, investigadora de Seguridad Informática de ESET Latinoamérica. El impacto, señala, puede extenderse a la pérdida de confianza, bloqueos por navegadores y buscadores, y riesgos de reinfección si no se corrige la vulnerabilidad inicial.

Otro ejemplo de un sitio legítimo que es aprovechado para alojar un sitio falso de Spotify. FOTO cortesía ESET