Ciberestafa en Spotify: El asalto a las webs de pymes

A diferencia de los correos de phishing tradicionales que usan dominios extraños, esta campaña es más difícil de detectar:

Secuestro de dominios: Los delincuentes aprovechan vulnerabilidades en sitios web legítimos de pymes (como panaderías, talleres o consultoras) para alojar subpáginas fraudulentas.
El gancho: El usuario recibe un correo o mensaje anunciando un problema con su suscripción de Spotify Premium o una supuesta oferta de «plan familiar» a precio irrisorio. Al hacer clic, el enlace parece «seguro» porque pertenece a una empresa real conocida.

El objetivo final de estas páginas es el robo de datos sensibles a través de formularios que imitan a la perfección la estética de Spotify:

Credenciales de acceso: Nombre de usuario y contraseña para secuestrar la cuenta.
Datos financieros: Información de tarjetas de crédito o débito bajo la excusa de «actualizar el método de pago».
Información personal: Correos y números de teléfono que luego son vendidos en la dark web para futuras estafas.

Los expertos en seguridad han emitido una serie de consejos críticos para los usuarios en este inicio de 2026:

Verifica el dominio: Aunque la página parezca de una pyme real, Spotify nunca gestionará sus cobros o datos de acceso a través de sitios de terceros como panaderia-ejemplo.com/spotify-login.
Usa la App oficial: Siempre que recibas una alerta, ignora el enlace del mensaje y entra directamente a la aplicación oficial de Spotify para revisar el estado de tu cuenta.
Desconfía de la urgencia: Los mensajes que dicen «Tu cuenta será cancelada en 24 horas» son la señal más clara de un intento de estafa.

Elemento	Detalle
Objetivo	Usuarios de Spotify Premium.
Herramienta	Sitios web de pymes vulnerados.
Riesgo	Robo de identidad y vaciamiento de tarjetas.
Señal de alerta	Direcciones URL que no corresponden a `spotify.com`.