En el cibercrimen conviven múltiples amenazas, pero una de las más efectivas, y que dificulta su detección, combina dos elementos clave: la explotación de vulnerabilidades de sitios web y la usurpación de marcas reconocidas para ejecutar campañas de phishing —una técnica de engaño que busca que las personas entreguen datos sensibles haciéndose pasar por entidades legítimas.

En los últimos días fueron detectaron dos casos en los que suplantaron a la imagen de la marca Spotify, y donde los ciberdelincuentes aprovecharon sitios comprometidos de pymes de la región para alojar páginas que simulan ser de este servicio de streaming dentro de un dominio legítimo. De esta forma, confunden a los usuarios al combinar la utilización de una marca conocida con un dominio en el que confían. La página de phishing queda en un entorno de dominios válidos que aumenta la sensación de seguridad. Esto hace más probable que una persona caiga en el engaño si no se verifica cuidadosamente el dominio completo.

“Para las pymes, esta estafa revela un problema estructural ya que la falta de mantenimiento y de medidas básicas de seguridad en sus sitios web las expone a incidentes propios y las convierte en plataformas involuntarias de fraude a gran escala. El impacto incluso puede ir más allá del hackeo inicial: una empresa comprometida puede perder la confianza de clientes y socios, ser bloqueada por navegadores o buscadores y quedar atrapada en un ciclo de reinfecciones si no aborda el problema desde la raíz.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Desde el equipo de investigación de ESET analizan el paso a paso de este engaño:

1. Los ciberatacantes explotan vulnerabilidades (como CMS desactualizados, plugins inseguros o credenciales débiles) para subir archivos maliciosos a un sitio web real.
2. Una vez dentro del sitio comprometido, alojan una copia falsa del servicio que desean suplantar, que visualmente es idéntica a la original.
3. Luego, el enlace a dicha página falsa puede ser distribuido a través de correos de phishing, anuncios maliciosos, redes sociales o mensajes directos.
4. Cuando la víctima ingresa al sitio y completa sus credenciales de acceso o datos financieros, la información es enviada directamente al ciberatacante.

Algunas de las consecuencias para los usuarios pueden ser:

• Robo y reutilización de credenciales: Las credenciales robadas pueden venderse o reutilizarse en otros servicios, más si el usuario repite contraseñas en diferentes plataformas.
• Fraude financiero: Con los datos de las tarjetas en su poder, los ciberatacantes pueden realizar compras, suscripciones no autorizadas o revender la información en mercados clandestinos.
• Pérdida del control de cuentas: una cuenta comprometida puede ser usada para enviar spam, cometer estafas a contactos o acceder a la información personal almacenada.
• Filtración de datos personales: La exposición de información como nombre, correo electrónico, hábitos y otra información asociada a la cuenta puede facilitar ataques dirigidos posteriores.

Por otro lado, entre algunas de las consecuencias para las pymes se encuentran:

• Daño para su reputación: El sitio pasa a ser asociado con fraude o estafas, lo que puede impactar directamente en la confianza de sus clientes y socios comerciales.
• Bloqueo por navegadores y motores de búsqueda: Un dominio comprometido puede ser marcado como peligroso, lo que afecta a su posicionamiento SEO y la llegada de tráfico legítimo.
• Costos de remediación: Se generan gastos de dinero asociados a limpiar el sitio, investigar el incidente, restaurar backups e implementar medidas de seguridad.
• Riesgo legal y regulatorio: La exposición de datos personales o el incumplir medidas de seguridad puede derivar en sanciones o responsabilidades legales.
• Reincidencia del ataque: En caso de que no se corrija la vulnerabilidad inicial, el sitio puede volver a ser comprometido y reutilizado por otros actores maliciosos.

En cuanto a las pymes y la protección de sus sitios, existen diversas buenas prácticas como mantener CMS, plugins y servidores actualizados. Se aconseja siempre utilizar contraseñas únicas y el doble factor de autenticación para accesos administrativos e implementar soluciones de seguridad web y monitoreo de integridad. Finalmente es fundamental realizar auditorías periódicas del sitio.