Ciudad de México
En el cibercrimen conviven múltiples amenazas, pero una de las más efectivas, y que dificulta su detección, combina dos elementos clave: la explotación de vulnerabilidades de sitios web y la usurpación de marcas reconocidas para ejecutar campañas de phishing —una técnica de engaño que busca que las personas entreguen datos sensibles haciéndose pasar por entidades legítimas.
En este contexto, ESET, compañía líder en detección proactiva de amenazas, alerta que se han detectado dos casos en Latinoamérica donde ciberdelincuentes explotan vulnerabilidades en sitios de empresas de la región para alojar páginas falsas de Spotify y robar credenciales de acceso y datos financieros.
En los últimos días fueron detectaron dos casos en los que suplantaron a la imagen de la marca Spotify, y donde los ciberdelincuentes aprovecharon sitios comprometidos de pymes de la región para alojar páginas que simulan ser de este servicio de streaming dentro de un dominio legítimo. De esta forma, confunden a los usuarios al combinar la utilización de una marca conocida con un dominio en el que confían.
La página de phishing queda en un entorno de dominios válidos que aumenta la sensación de seguridad.
Según ESET, esto hace más probable que una persona caiga en el engaño si no se verifica cuidadosamente el dominio completo.
“Para las pymes, esta estafa revela un problema estructural ya que la falta de mantenimiento y de medidas básicas de seguridad en sus sitios web las expone a incidentes propios y las convierte en plataformas involuntarias de fraude a gran escala.
“El impacto incluso puede ir más allá del hackeo inicial: una empresa comprometida puede perder la confianza de clientes y socios, ser bloqueada por navegadores o buscadores y quedar atrapada en un ciclo de reinfecciones si no aborda el problema desde la raíz”, comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Desde el equipo de investigación de ESET analizan el paso a paso de este engaño:Los ciberatacantes explotan vulnerabilidades (como CMS desactualizados, plugins inseguros o credenciales débiles) para subir archivos maliciosos a un sitio web real.
Una vez dentro del sitio comprometido, alojan una copia falsa del servicio que desean suplantar, que visualmente es idéntica a la original.
Luego, el enlace a dicha página falsa puede ser distribuido a través de correos de phishing, anuncios maliciosos, redes sociales o mensajes directos.
Cuando la víctima ingresa al sitio y completa sus credenciales de acceso o datos financieros, la información es enviada directamente al ciberatacante.
“La efectividad de la estafa está basada en cuatro puntos clave. El primo es que el dominio comprometido es legítimo, y así logran eludir filtros de seguridad básicos. Además, la marca suplantada es conocida y confiable, lo que hace que muchas personas solo verifiquen el candado HTTPS sin prestar la debida atención al dominio completo. Y, por último, los señuelos suelen ser situaciones muy comunes, como renovación de cuenta, problemas de pago o verificación de seguridad.”, advierte Lopez.
Desde ESET aseguran que esta práctica es frecuente y tiene presencia en América Latina. A continuación, presentan dos casos reales de páginas comprometidas de pymes de la región: Centro odontológico de Chile, un centro especializado en odontología de la Quinta Región de Chile vio comprometido su sitio web, el cual fue aprovechado por los cibercriminales para alojar sitios falsos que simulan ser Spotify para robar información financiera y datos de acceso de sus víctimas. En la primera imagen, queda en evidencia cómo los cibercriminales logran imitar la identidad visual de Spotify (alojada en la web del centro odontológico), para que las víctimas crean que realmente están ingresando en el sitio legítimo. Allí, se solicitan las credenciales de acceso.