La promesa de acceder a Spotify Premium gratis por un año es el último intento de estafa que circula por WhatsApp. Se suma a las del bono de Coto y Garbarino, al que ofrecía cafeteras Nespresso gratis y al del acceso sin cargo a Netflix, por solo mencionar algunas.
“Spotify está donando un año de cuenta premium gratis, corre que todavía da tiempo”, dice el mensaje que llega a cuentas de WhastApp y que no hace otra cosa más que quedarse con los datos de acceso a Spotify de los que caen en la trampa.
Es que, tras una serie de preguntas, acaban pidiendo que se inicie sesión en la plataforma de música en streaming. Esos datos viajarán inmediatamente a manos de los atacantes. Tienen mucho valor entre los hackers que compran bases de datos porque la mayoría de los usuarios reutiliza sus contraseñas en otras plataformas, como redes sociales o correo electrónico.
Mensaje creíble
La empresa de seguridad informática PandaLabs advirtió que los piratas desarrollaron bien su plan. Son varias las razones que podrían tener los usuarios para creer que la oferta de Spotify Premium gratis es real.
Lo más novedoso de este ciberataque es que está especialmente diseñado para móviles. Si el enlace se abre desde una computadora, el navegador pide descargar una extensión llamada ‘DarkWhats’.
Eso hará dudar a la mayoría de los que vean el mensaje desde WhatsApp Web. Pero en los celulares, el navegador no necesita esa extensión y de ahí que el engaño sea aún más creíble.
Parte del engaño reside en el contador con el número de cuentas gratuitas que quedan disponibles. En el mismo momento en el que el usuario llega a la web, ve como cada vez hay menos posibilidades de obtener el supuesto regalo.
A ello hay que añadir el breve y sencillo cuestionario que hay que contestar. Es habitual que grandes compañías hagan estudios de mercado en los que hacen preguntas a sus usuarios a cambio de obsequios. Por esta razón, el engaño es aún más creíble, aseguró Luis Corrons, director técnico de PandaLabs.
Otro elemento que suma credibilidad al ataque es la URL a la que dirige el mensaje. En lugar de llevar a la web de Spotify (https://www.spotify.com/es/), el engaño lo envía a https://spotify-us.com/es/?. La diferencia es tan pequeña que, incluso fijándose en la dirección de la web, es posible confundirse si no se le presta mucha atención.
Los piratas colocaron una herramienta de Facebook con comentarios de personas para que la página de phishing sea todavía más creíble. “Al ver las opiniones de otros usuarios en una web tendemos a confiar inmediatamente en su credibilidad”, añadió Corrons.
El idioma, la clave
La mayoría de estos ataques están creados en idiomas distintos al de origen de los atacantes. De allí que las faltas de ortografía o gramática sean claras y constantes.
En ese caso hay otra manera de encender la alarma: la página del ataque trata de “usted” a los usuarios, un tono para nada habitual en Spotify, que suele emplear la informalidad para comunicarse.