La amenaza del **phishing** sigue mutando y adaptándose a las herramientas digitales que utilizamos diariamente. En esta ocasión, DocuSign, la popular plataforma de firma electrónica, se ha convertido en el señuelo predilecto de los ciberdelincuentes. Este tipo de ataque, que se aprovecha de la confianza depositada en la tecnología, representa un riesgo significativo para empresas y usuarios por igual.
Según la investigación publicada por Gestión, en los últimos meses, expertos en ciberseguridad han detectado un aumento preocupante de campañas maliciosas que buscan imitar las notificaciones oficiales de DocuSign. El objetivo final de estos ataques es engañar a los usuarios y obtener acceso no autorizado a información sensible y valiosa.
El modus operandi de este nuevo fraude se enmarca dentro del “spear phishing”, una forma de ataque dirigida que se centra en explotar la confianza que los usuarios y las empresas depositan en plataformas como DocuSign. Los ciberdelincuentes envían correos electrónicos falsificados, diseñados para parecerse a las notificaciones legítimas de DocuSign, con el fin de engañar a sus víctimas. En muchos casos, estos mensajes contienen un botón o un código QR malicioso que, al ser escaneado o clickeado, redirige al usuario a un sitio web falso que imita ser de Microsoft 365, donde se solicita el ingreso de información personal o financiera.
Los sectores más vulnerables a estos ataques son aquellos donde el intercambio digital de documentos es fundamental. Despachos de abogados, notarios, instituciones financieras, entidades gubernamentales y empresas son los blancos preferidos de los ciberdelincuentes. Para lograr su cometido, los atacantes combinan diversas técnicas de ingeniería social, desde la suplantación de identidad hasta la presión psicológica, para manipular a sus víctimas.
Las consecuencias de caer en este tipo de engaño pueden ser devastadoras. El compromiso de cuentas corporativas, el acceso no autorizado a información confidencial, las infecciones con malware y las pérdidas económicas por transferencias fraudulentas son solo algunas de las posibles repercusiones. Además, las empresas también pueden enfrentar consecuencias legales, especialmente si se expone información de terceros, lo que podría derivar en multas o sanciones por incumplimiento de las normativas de protección de datos.
En Perú, la situación es especialmente preocupante. Según datos recientes, un alto porcentaje de las detecciones de amenazas corresponden a campañas de phishing, lo que confirma a este tipo de ataque como el vector inicial más utilizado por los ciberdelincuentes. A nivel regional, un porcentaje considerable de los incidentes reportados por empresas están vinculados a técnicas de ingeniería social, lo que subraya la importancia de concientizar a los usuarios sobre estos riesgos.
Para detectar una notificación falsa de DocuSign, es fundamental prestar atención a ciertas señales de alerta. Errores ortográficos o de formato, correos enviados desde dominios inusuales, enlaces o códigos QR sin explicación, solicitudes de información confidencial y mensajes genéricos o con tono alarmista son indicadores de que algo podría estar mal. Una notificación legítima de DocuSign nunca debería solicitar datos personales directamente ni presionar al usuario con amenazas de vencimiento inmediato.
