La compañía de ciberseguridad alerta sobre técnicas de phishing que usan la identidad de Docusign para robar información personal y corporativa.
La firma de seguridad informática ESET alertó sobre nuevas campañas de fraude digital que utilizan correos electrónicos falsos de Docusign para engañar a usuarios y robar datos personales o financieros.
Docusign, que afirma tener 1,7 millones de clientes y más de mil millones de usuarios en todo el mundo, se ha convertido en blanco de ciberdelincuentes debido a su alta penetración de mercado. ESET advierte que los atacantes se aprovechan de la confianza en esta plataforma para realizar ataques de phishing, suplantando su identidad.
Los correos fraudulentos suelen incluir un supuesto "sobre" digital que invita a los usuarios a revisar un documento mediante un botón o un código QR. Al hacer clic o escanear, las víctimas son redirigidas a páginas falsas que imitan portales de empresas o entidades oficiales, como Microsoft o departamentos de Recursos Humanos.
Entre los incidentes detectados, ESET enumera:
- Suplantación de facturas de proveedores usando sobres reales de Docusign.
- Falsificación de facturas de entidades gubernamentales.
- Uso de cuentas legítimas de Docusign para enviar sobres con identidad visual falsa.
- Correos de phishing que simulan plataformas de nómina o entidades públicas.
- Estafas de reembolso que inducen a llamar a un número telefónico y revelar datos financieros.
Ante esta amenaza, ESET recomienda a las empresas reforzar sus programas de concientización y simulaciones de phishing. Además, sugiere verificar cuidadosamente los enlaces antes de hacer clic, evitar abrir archivos adjuntos en correos iniciales, y prestar atención a errores gramaticales o inconsistencias en el remitente.
Las medidas de seguridad propuestas incluyen:
- Implementar autenticación multifactor (MFA) para todas las cuentas corporativas.
- Fomentar el uso de contraseñas únicas y seguras, almacenadas en gestores de contraseñas.
- Contar con soluciones de seguridad multicapa como las de ESET.
- Modificar protocolos internos para la validación de transferencias de fondos.
- Reportar cualquier correo sospechoso al equipo de TI o a [email protected].
En caso de haber hecho clic en un correo fraudulento, se debe restablecer contraseñas, escanear el equipo afectado, aislar el dispositivo y monitorear la actividad sospechosa.
“Las firmas electrónicas como Docusign son útiles, pero también pueden ser un arma para los estafadores si no se toman precauciones”, señaló Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Más detalles y consejos en: welivesecurity.com
Además, ESET invita a escuchar su podcast Conexión Segura en Spotify.
