Todo empezó hace unos días, cuando un usuario abrió un hilo en el foro de la comunidad de Spotify en el que contaba que la versión de escritorio del servicio estaba abriendo sin control sitios de malware. Según explicaba, esto ocurría al usar la aplicación en su modo gratuito y lo había comprobado en tres equipos que estaban completamente limpios de virus, de manera que todo parecía indicar que sí, que el responsable era Spotify.

Pronto empezaron a sucederse los comentarios en los que se contaban experiencias similares y se iban añadiendo detalles, como por ejemplo que en algunos casos, los sitios se abrían cada diez minutos mientras que en otros el comportamiento era más aleatorio. Desde Spotify no tardaron en reaccionar y empezaron a pedir información más detallada a los usuarios, como suele ser necesario en estos casos: sistema operativo usado, versión de Spotify instalada, si sucedía con algún anuncio específico…

Al poco se pudo apreciar que era un problema que afectaba a todas las plataformas de escritorio (Windows, Mac y Linux) y que no era algo que sucediese bajo versiones antiguas de la aplicación, pues casi todos los reportes indicaban estar usando la última disponible. Eso sí, el problema se circunscribía al escritorio y no afectaba a las versiones móviles, ni tampoco parece ser que a la versión web.

Algunos de los usuarios afectados grabaron vídeos de este comportamiento anómalo (y peligroso). En este de aquí se puede ver que era lo que ocurría:

El origen: anuncios envenenados

twitter-spotify-malware

Según Spotify, el problema ha sido resuelto ya, aunque no han dado muchos detalles acerca él. La respuesta la dieron en el hilo del foro donde se planteó esta cuestión y tan solo han confirmado que afectaba a la versión gratuita, situando el origen en «un problema aislado con un anuncio».

Desde el momento en el que notificaron la resolución del problema, salvo un par de comentarios diciendo que no habían apreciado cambios, se dejaron de reportar la aparición de nuevas ventanas emergentes, por lo que se podría decir que la medida que tomaron fue efectiva.

El fallo cometido por Spotify en este caso ha sido esencialmente de supervisión. En el caso de la versión gratuita, la compañía lo que hace es servir de intermediaria entre los anunciantes y los usuarios. Los procesos para pautar que se aplican en estas situaciones suelen estar muy automatizados, aunque también cuentan con medidas de seguridad para que estos casos no se den. En esta ocasión, alguien consiguió infiltrar de alguna manera uno o varios anuncios capaces de desencadenar la apertura de URLs cuestionables en el navegador por defecto.

Debido a la ausencia de más denuncias de situaciones similares, se puede afirmar que, efectivamente, el problema ha sido atajado y que se puede usar la aplicación de escritorio de Spotify con total seguridad, al menos de momento.

Spotify ya pasó por esto antes, en marzo de 2011, cuando publicidad «envenenada» afectó a usuarios de Suecia y Reino Unido, deteniendo la música que se estaba reproduciendo. Esperemos que esta nueva experiencia les sirva para reforzar sus controles de seguridad, porque a pesar de que el número de afectados parece haber sido pequeño, la crisis de reputación no se la quita nadie: solo hay que buscar en Google «Spotify» para ver que los titulares acerca de la posible infección de malware se encuentran actualmente situados entre los primeros resultados.