CDMX.- Una nueva variante de phishing contra usuarios de Spotify está ganando terreno, donde los ciberdelincuentes no crean páginas falsas obvias, sino que hackean sitios web reales de pequeñas y medianas empresas para alojar réplicas perfectas de la interfaz de la plataforma. Estos ataques simulan alertas de pago fallido o verificación de cuenta, enviando enlaces que parecen seguros por el HTTPS y el dominio legítimo, pero redirigen a rutas ocultas que roban credenciales y datos bancarios. Según reportes recientes en México, estas campañas se suman a oleadas de SMS fraudulentos que escriben mal “Spotify” como “Spotifys” para urgir clics, afectando a miles con pérdidas directas.

El contexto revela una escalada en fraudes contra servicios de streaming: en 2025, Spotify sufrió brechas que expusieron datos de usuarios, según análisis de Huntress y McAfee, facilitando estos engaños. En redes, usuarios alertan sobre mensajes SMS que prometen resolver “problemas de suscripción” pero llevan a sitios maliciosos, mientras que posts en Reddit destacan cómo emails hiperrealistas evaden filtros. Esto subraya la vulnerabilidad de PyMEs con seguridad débil, convertidas en peones involuntarios.

Aunque efectiva por su camuflaje, la técnica no es infalible: expertos señalan que ejemplos básicos se replican en minutos vía tutoriales, y recuperar cuentas es sencillo si se actúa rápido. Sin embargo, ignora a usuarios con contraseñas recicladas, perdidos de antemano. La clave: verifica siempre en spotify.com directamente, sin clics sospechosos, para no caer en la trampa.