La sofisticación de los ataques de phishing continúa escalando, adoptando nuevas tácticas para burlar la seguridad de usuarios y empresas. Un nuevo señuelo ha surgido en el panorama de la ciberdelincuencia: DocuSign, la plataforma ampliamente utilizada para la firma electrónica de documentos. Este cambio táctico representa un riesgo significativo, dado el alto nivel de confianza que los usuarios depositan en este tipo de servicios digitales.
Según la investigación publicada por Gestión, expertos en ciberseguridad han detectado un aumento preocupante en campañas maliciosas que se hacen pasar por notificaciones oficiales de DocuSign, con el objetivo de engañar a los usuarios y acceder a información confidencial. Este tipo de fraude, conocido como “spear phishing”, se dirige específicamente a individuos o entidades, explotando la confianza depositada en plataformas digitales para el intercambio de documentos.
Estas campañas fraudulentas inician con el envío de correos electrónicos falsificados que imitan las notificaciones legítimas de DocuSign. Fabiana Ramírez, security researcher de ESET Latinoamérica, en entrevista con Gestión, explica que estos mensajes a menudo contienen un botón o código QR malicioso que, al ser escaneado o clickeado, redirige al usuario a un sitio web falso que simula ser de Microsoft 365. En este sitio web fraudulento, se solicita el ingreso de información personal o financiera, exponiendo a las víctimas al robo de identidad y al fraude económico. Es crucial recordar que DocuSign, en sus comunicaciones legítimas, nunca solicitará información sensible de esta manera.
Los ciberdelincuentes se enfocan especialmente en sectores donde el intercambio digital de documentos es fundamental, como despachos de abogados, notarios, instituciones financieras, entidades gubernamentales y empresas de diversos rubros. Para lograr su cometido, los atacantes combinan diversas técnicas de ingeniería social, que incluyen la suplantación de identidad, la presión psicológica y la falsificación de documentos y facturas. Utilizan logos, firmas digitales y dominios que imitan a los originales, creando una sensación de legitimidad que dificulta la detección del engaño.
Las consecuencias de estos ataques pueden ser devastadoras, desde el compromiso de cuentas corporativas y el acceso no autorizado a información confidencial hasta infecciones con malware y pérdidas económicas por transferencias fraudulentas. Además, la exposición de información de terceros puede acarrear consecuencias legales graves, incluyendo multas y sanciones por incumplimiento de las normativas de protección de datos. En Perú, el phishing se consolida como el vector inicial más utilizado para los ciberataques, representando un porcentaje significativo de las detecciones de seguridad.
Para detectar una notificación falsa de DocuSign, se recomienda estar atento a señales como errores ortográficos o de formato, correos electrónicos enviados desde dominios inusuales, enlaces o códigos QR sin explicación, solicitudes de información confidencial y mensajes genéricos o con un tono alarmista. Una notificación legítima de DocuSign nunca solicitará datos personales directamente ni presionará con amenazas de vencimiento inmediato. La capacitación en ciberseguridad para todos los empleados es fundamental, con énfasis en el reconocimiento de intentos de phishing.
Para protegerse contra estos engaños, se recomienda el uso de autenticación multifactor (MFA) para evitar accesos indebidos, implementar soluciones de seguridad como antiphishing y antimalware, y verificar siempre por otro canal si un correo electrónico parece sospechoso. La creación de una cultura organizacional en ciberseguridad es crucial, fomentando el reporte inmediato de correos electrónicos sospechosos y promoviendo la capacitación constante en materia de seguridad cibernética. La concientización y la educación son las mejores defensas contra el phishing.
