Playlists de Spotify, la nueva forma de distribuir software pirata

Resulta paradójico. Las plataformas de streaming han hecho que, en los últimos años, haya descendido el pirateo de productos audiovisuales y musicales. En este último caso, Spotify, que tiene una previsión de alcanzar los 665 millones de usuarios al terminar el año, ha jugado un papel importante para que la piratería musical sea un problema mucho menor para la industria, pero ahora está siendo utilizado por los piratas para promover la distribución de copias ilegales de software. ¿La razón? Que sus playlists o listas de reproducción posicionan mucho mejor en los resultados de búsquedas de Google que las páginas de descargas tradicionales.

Si hace años era fácil encontrar páginas con enlaces de descarga ilegales, el buscador es ahora mucho más restrictivo y, en muchas ocasiones, no las indexa. No sucede lo mismo con las playlists que provienen de una plataforma con autoridad, de cara a los resultados de búsquedas, como es Spotify.

Por este motivo, la plataforma de streaming de música y podcasts está siendo explotada para aparecer en los resultados de búsqueda promocionando la descarga de software pirata, cheats para trampear videojuegos y enlaces spam. Los ciberdelincuentes lo hacen introduciendo las palabras clave que les interesan [por ejemplo, un crack que permite saltar la protección de un programa] y enlaces en los nombres y descripciones de las listas de reproducción y podcasts.

Un ejemplo de esta práctica, denunciado recientemente en X por el experto en ciberseguridad Karol Paciorek, es una lista de reproducción titulada 'Sony Vegas Pro 13 Crack...' que dirigía a los usuarios a un sitio web que ofrecía software pirateado. Este tipo de webs, como es habitual en las que distribuyen o enlazan software ilegal, pueden contener malware o conducir a sitios fraudulentos de phishing.

🚨 Cybercriminals exploit Spotify for #malware distribution. 🎵

Why? Spotify has a strong reputation and its pages are easily indexed by search engines, making it an effective platform to promote malicious links. pic.twitter.com/MGloGZykCp

— Karol Paciorek (@karol_paciorek) November 18, 2024

Esta táctica de aprovecharse de la reputación de Spotify mejora la posición de estos sitios web en los motores de búsqueda, lo que aumenta su visibilidad para los usuarios desprevenidos. Todo lo que una persona que quiera descargar software pirata debe hacer es buscar una de estas listas de reproducción y hacer clic en la descripción. Spotify ha reconocido el problema y ha eliminado esta playlist en particular, pero no es un ejemplo aislado.

El problema va más allá de las listas de reproducción. También hay podcasts, creados con voces sintéticas, que promocionan enlaces spam, descargas torrent y canales de estafas en Telegram. Estos podcasts también dirigen a los usuarios a páginas repletas de anuncios, encuestas y descargas potencialmente dañinas.

Esto es posible porque, además de las aplicaciones móviles y de escritorio, Spotify ofrece una versión web de la plataforma. Las listas de reproducción y los podcasts disponibles en el reproductor web son, como en cualquier otro sitio web, rastreados por motores de búsqueda como Google e indexados en el Buscador.

Sobre esta cuestión, Spotify ha manifestado a Bleeping Computer que 'las Reglas de la Plataforma de Spotify prohíben publicar, compartir o proporcionar instrucciones sobre la implementación de malware o prácticas maliciosas relacionadas que busquen dañar u obtener acceso no autorizado a computadoras, redes, sistemas u otras tecnologías'.