Spotify es utilizada por cibercriminales para distribuir malware

Los ciberdelincuentes se aprovechan de la popular plataforma Spotify para distribuir malware o software maliciosos, a través de enlaces falsos en podcasts.

ESET, líder en detección proactiva de amenazas cibernéticas, ha alertado sobre esta nueva técnica utilizada por cibercriminales para camuflar enlaces dentro de descripciones de medios digitales y listas de reproducción en Spotify. 

Los atacantes aprovechan la popularidad y el alto nivel de indexación de la plataforma, con más de 600 millones de usuarios a nivel mundial, para engañar a los usuarios y redirigirlos a sitios fraudulentos. 

Estos enlaces prometen descargas de software crackeado, libros electrónicos o monedas virtuales para juegos online como Fortnite, aunque en realidad conducen a contenidos maliciosos.

En su análisis, ESET destaca que la estrategia utilizada por los delincuentes es similar a otras prácticas detectadas anteriormente en plataformas como YouTube. 

“Este tipo de amenazas siempre está presente, ya que los atacantes aprovechan el interés de los usuarios por obtener contenido y software gratuitos, beneficiándose del buen posicionamiento que estas plataformas tienen en los resultados de búsqueda”, señala Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

El engaño en Spotify

Al realizar una búsqueda en Google sobre un software crackeado específico, es común que los resultados lleven a enlaces en Spotify, que incluyen un podcast o una lista de reproducción. 

En estos casos, la descripción del podcast contiene múltiples enlaces a archivos de descarga, los cuales supuestamente ofrecen versiones piratas de aplicaciones o programas. 

Por ejemplo, al seguir el enlace relacionado con un “crack” para iTopVPN, los usuarios son redirigidos a un podcast con enlaces que apuntan a la descarga del software malicioso, alojado en un popular servicio de almacenamiento en la nube.

Al examinar los archivos descargados, el equipo de ESET encontró que se trataba de un instalador malicioso, detectado por soluciones de seguridad como las de ESET. Este tipo de software genera publicidad intrusiva (adware) y puede redirigir a los usuarios a sitios maliciosos, descargando incluso malware más peligroso.

En las últimas semanas, varios usuarios de la red social X (anteriormente conocida como Twitter) han reportado ejemplos similares de enlaces maliciosos en la descripción de podcasts en Spotify. Estos enlaces, que simulan ser archivos legítimos como audiolibros o software pirata, resultan ser una trampa para distribuir malware.

Recomendaciones para protegerse

Para evitar caer en estos engaños, ESET recomienda seguir una serie de buenas prácticas de seguridad cibernética:

• Evitar interactuar con enlaces sospechosos: Si algo parece demasiado bueno para ser verdad, probablemente lo sea.
• Denunciar contenido malicioso: Si encuentras enlaces que promuevan software pirata o material ilegal, denúncialos a través de las herramientas de soporte de Spotify.
• Usar soluciones de seguridad confiables: Mantén actualizado el sistema operativo y tu software antivirus, y realiza análisis de los archivos descargados antes de abrirlos.
• Ser cauteloso con el contenido gratuito: Los enlaces a software crackeado, libros electrónicos o audiolibros gratuitos son una táctica común de los ciberdelincuentes.

Llamado a la precaución

Los ciberdelincuentes constantemente adaptan sus métodos para llegar a los usuarios. Utilizar plataformas legítimas como Spotify, que tienen una alta indexación en los motores de búsqueda, es una estrategia eficaz para distribuir malware. En este sentido, Gutiérrez Amaya subraya: “Es fundamental mantenerse alerta, evitar descargar software de fuentes no oficiales y nunca hacer clic en enlaces dudosos”.

Para protegerse, los usuarios deben ser críticos al interactuar con contenidos gratuitos y tomar precauciones al navegar por plataformas que, aunque legítimas, también pueden ser explotadas por los atacantes.