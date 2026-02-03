ESET advierte que verificar el dominio completo es clave para evitar caer en engaños digitales. Foto: Tomada de redes

En el cibercrimen conviven múltiples amenazas, pero una de las más efectivas y difíciles de detectar combina la explotación de vulnerabilidades en sitios web con la usurpación de marcas reconocidas para ejecutar campañas de phishing, una técnica de engaño diseñada para que las personas entreguen datos sensibles haciéndose pasar por entidades legítimas.

En este contexto, se alertó sobre dos casos detectados en Latinoamérica en los que ciberdelincuentes aprovecharon fallas de seguridad en sitios de empresas de la región para alojar páginas falsas de Spotify, con el objetivo de robar credenciales de acceso y datos financieros, según mencionó ESET, empresa de software de ciberseguridad.

Al combinar una marca conocida con un dominio válido, las páginas de phishing logran pasar desapercibidas con mayor facilidad, haciendo más probable que las víctimas caigan en el engaño si no verifican cuidadosamente la dirección completa del sitio.

“Para las pequeñas y medianas empresas, esta estafa revela un problema estructural, ya que la falta de mantenimiento y de medidas básicas de seguridad en sus sitios web las expone a incidentes propios y las convierte en plataformas involuntarias de fraude a gran escala”, aseguró Martina López, investigadora de seguridad informática de ESET Latinoamérica.

Paso a paso del engaño

Los ciberatacantes explotan vulnerabilidades (como CMS desactualizados, plugins inseguros o credenciales débiles) para subir archivos maliciosos a un sitio web real. Una vez dentro del sitio comprometido, almacenas una copia falsa del servicio que desean suplantar, que visualmente es idéntica a la original. Luego, el enlace a dicha página falsa puede ser distribuido a través de correos de phishing, anuncios maliciosos, redes sociales o mensajes directos. Cuando la víctima ingresa al sitio y completa sus credenciales de acceso o datos financieros, la información es enviada directamente al ciberatacante.

Los engaños suelen apoyarse en situaciones cotidianas, como renovaciones de cuenta, problemas de pago o supuestas verificaciones de seguridad, que facilitan que las víctimas bajen la guardia.

Caso real detectado en Latinoamérica

Centro Odontológico de Chile

Un centro especializado en odontología de la Quinta Región de Chile vio comprometido su sitio web, el cual fue aprovechado por los cibercriminales para alojar sitios falsos que simulan ser Spotify.

En la primera etapa del engaño, se observa una página que reproduce de manera casi idéntica la identidad visual del servicio original, pero que está alojada dentro del sitio web legítimo del centro odontológico.

El diseño, los colores y la estructura imitan al sitio real, lo que genera confianza en el usuario y lo lleva a creer que está ingresando a la plataforma auténtica. En este punto, la página solicita las credenciales de acceso.

A continuación, el fraude avanza hacia una segunda pantalla en la que se informa a la víctima sobre una supuesta necesidad de actualizar el método de pago. Allí se le pide ingresar datos bancarios, como información de la tarjeta, bajo el pretexto de resolver un problema administrativo o de facturación.

Una vez introducidos esos datos, la página muestra un mensaje de espera o de procesamiento de la solicitud, dando la impresión de que el trámite está en curso o que habrá una redirección automática.

Sin embargo, en ese momento la información ya ha sido enviada directamente a los servidores controlados por los cibercriminales.

Consecuencias para los usuarios

Robo y reutilización de credenciales: Las credenciales robadas pueden venderse o reutilizarse en otros servicios, más si el usuario repite contraseñas en diferentes plataformas.

Fraude financiero: Con los datos de las tarjetas en su poder, los ciberatacantes pueden realizar compras, suscripciones no autorizadas o revender la información en mercados clandestinos.

Pérdida del control de cuentas: una cuenta comprometida puede ser usada para enviar spam, cometer estafas a contactos o acceder a la información personal almacenada.

Filtración de datos personales: La exposición de información como nombre, correo electrónico, hábitos y otra información asociada a la cuenta puede facilitar ataques dirigidos posteriores.

Consejos para los usuarios

Verificar siempre el dominio completo antes de ingresar datos personales o financieros.

Desconfiar de cualquier enlace que llegue de manera inesperada por correo electrónico o mensajes.

Utilizar un gestor de contraseñas , que no se autocomplete en dominios falsos.

Activar el doble factor de autenticación siempre que sea posible.

Consecuencias para las empresas

Daño para su reputación: El sitio pasa a ser asociado con fraude o estafas, lo que puede impactar directamente en la confianza de sus clientes y socios comerciales.

Bloqueo por navegadores y motores de búsqueda: Un dominio comprometido puede ser marcado como peligroso, lo que afecta a su posicionamiento SEO y la llegada de tráfico legítimo.

Costos de remediación: Se generan gastos de dinero asociados a limpiar el sitio, investigar el incidente, restaurar backups e implementar medidas de seguridad.

Riesgo legal y regulatorio: La exposición de datos personales o el incumplir medidas de seguridad puede derivar en sanciones o responsabilidades legales.

Reincidencia del ataque: En caso de que no se corrija la vulnerabilidad inicial, el sitio puede volver a ser comprometido y reutilizado por otros actores maliciosos.

Consejos para las empresas

Mantener CMS, plugins y servidores siempre actualizados.

Utilizar contraseñas únicas y activar el doble factor de autenticación para accesos administrativos.

Implementar soluciones de seguridad web y monitoreo de integridad del sitio.

Realizar auditorías periódicas del sitio web.

