Según datos publicados por Statista, entre julio y septiembre de 2023, Spotify contaba con más de 220 millones de suscriptores, posicionándolo como líder en servicios de música en streaming. Esto llamó la atención de los cibercriminales que comenzaron a implementar diversas técnicas para obtener los datos de acceso a las cuentas de Spotify de sus víctimas.

En este artículo repasaremos las principales estrategias que usan los actores maliciosos para obtener las credenciales, qué rédito sacan, qué indicios dan cuenta de que nuestra cuenta fue vulnerada y de qué manera se puede evitar el robo.

Phishing

Los correos de phishing representan uno de los principales vectores de ataque utilizados por los ciberatacantes para obtener credenciales de acceso de usuarios desprevenidos. ¿La excusa? Como siempre, alguna urgencia vinculada a un pago o a una cancelación del servicio.

Un reporte de usuarios de Spotify muestra, por ejemplo, cómo han intentado robar cuentas utilizando esta técnica. Mediante un mail con el supuesto aviso de que la cuenta será desactivada, llevan al usuario a hacer clic en un enlace que lo llevará a una página apócrifa, diseñada para robar credenciales de acceso y otra información personal.

Imagen 1: Ejemplo de correo de phishing reportado en página oficial Spotify. Fuente: Spotify.com

Para prevenir estos engaños, puede serte útil la información que publica Spotify en su sección de ayuda. Allí la plataforma indica cómo reconocer un mail legítimo y advierte que nunca te pedirá información personal —como datos de tus medios de pago o contraseñas—, ni te solicitará pagos por medio de terceros ni te pedirá que descargues archivos adjuntos.

Filtraciones de datos

Las filtraciones de datos también pueden derivar en el robo de cuentas de Spotify. Como ejemplo, y según relata un usuario en Reddit, su cuenta había sido vulnerada y alguien había cambiado sus credenciales de acceso.

Más tarde descubrió en el sitio HaveIBeenPwnd que su correo electrónico había estado involucrado en varias brechas de datos. La conclusión es que la información filtrada en otras plataformas y servicios online había sido aprovechada para hacerse de la cuenta de Spotify, conociendo la dirección de correo electrónico, el cibercriminal pudo hallar la cuenta de Spotify correspondiente a ese email y mediante un ataque de fuerza bruta obtener su contraseña.

Aquí un recordatorio muy importante: no se deben reutilizar los usuarios y las contraseñas ya que, si se filtran los datos de alguna cuenta o servicio, todo el resto estará vulnerable.

Aplicaciones no oficiales

Otra manera que tiene el cibercrimen de acceder a las cuentas de Spotify de sus víctimas es a través de aplicaciones no oficiales que prometen un supuesto acceso gratuito a funciones premium.

Así, con grandilocuentes señuelos buscan robar la dirección de correo electrónico y contraseña, y apoderarse de la cuenta.

Imagen 2: Ejemplo de Ad de apliación maliciosa. Fuente: Volt.fm

Infección por malware

Otra vía que puede ser utilizada por los cibercriminales es la infección con malware, para así obtener la información de inicio de sesión de sus víctimas.

Esto es posible gracias a los keyloggers, que registran las pulsaciones de teclas y envían esa información a los actores maliciosos.

¿Para qué se hackean cuentas de Spotify?

Las respuestas a este interrogante pueden ser varias. Por un lado, los actores maliciosos pueden intentar obtener las credenciales de acceso de sus víctimas para luego vendérselas a otras personas; estas cuentas robadas suelen comercializarse en foros y mercados de internet, a un precio mucho mejor que el oficial.

El otro motivo es sencillamente para falsificar reproducciones a través de las cuentas robadas que reproducen de manera continuada y repetida las canciones de un artista con el fin de incrementar de manera artificial los números de reproducción y generar ingresos.

Te puede interesar: 5 claves para que no te hackeen las redes sociales

¿Cómo sé que me hackearon Spotify?

Hay varios indicios que pueden dar cuenta de que tu cuenta de Spotify fue robada. A saber:

  • Se evidencian cambios en tu suscripción.
  • La música que escuchas cambia o se detiene de manera aleatoria.
  • Te encuentras con listas de reproducción que no reconoces, o bien no encuentras tus propias listas.
  • Te llegan correos por parte de Spotify que dan cuenta de inicios de sesión que no reconoces.
  • No estás pudiendo iniciar sesión en tu cuenta.

¿Cómo puedes evitar ser hackeado?

Más allá de que existen diversas estrategias mediante las cuales los cibercriminales intentan robar las cuentas de Spotify, hay varias acciones a llevar a cabo para evitar el hackeo. Como, por ejemplo:

  • Elegir una contraseña segura, extensa, y que contenga mayúsculas, caracteres especiales y números. Otro dato clave aquí es que se trate de una clave única, que no estés utilizando en otro servicio o plataforma. ¿Un muy buen tip? Utilizar un gestor de contraseñas, que permite generar credenciales fuertes y únicas para cada cuenta sin necesidad de tener que recordarlas de memoria.
  • Descargar la aplicación de repositorios oficiales. Y desconfiar de aquellas que ofrecen descuentos o beneficios demasiado buenos para ser verdad.
  • No compartir tu cuenta con nadie. Más allá de que se trate de gente de tu confianza, no puedes saber si estas personas saben cómo mantener tu cuenta segura. Para ello, siempre es mejor adquirir una suscripción familiar o compartida.