En los últimos meses, se ha detectado una campaña de phishing que ha logrado engañar a muchos usuarios. Esta vez, los atacantes han perfeccionado sus técnicas y utilizan correos electrónicos que simulan ser comunicaciones oficiales del departamento de Recursos Humanos. El objetivo: robar credenciales corporativas.
¿Qué es el phishing y cómo ha evolucionado?
El phishing es una técnica de engaño digital que busca obtener información confidencial, como contraseñas o datos bancarios, haciéndose pasar por entidades legítimas. Aunque esta práctica no es nueva, lo que sí ha cambiado es su nivel de sofisticación.
En esta campaña reciente, los ciberdelincuentes han combinado el phishing tradicional con técnicas de spear-phishing a gran escala, personalizando tanto el contenido del correo como el documento adjunto.
El truco: una falsa actualización de políticas de RR. HH.
El ataque comienza con un correo electrónico que parece provenir del área de Recursos Humanos. El mensaje informa al empleado sobre cambios en los protocolos de trabajo remoto, beneficios y normas de seguridad. Todo parece legítimo: el correo incluye el nombre del destinatario, un banner que indica que el remitente está verificado y un documento adjunto titulado con el nombre del usuario.
Este tipo de presentación genera confianza. El banner verde que indica que el remitente está en una lista segura puede parecer convincente, pero en realidad es parte del engaño.
Un correo electrónico fraudulento diseñado para engañar a los destinatarios mediante supuestas actualizaciones de las políticas de Recursos Humanos.
¿Qué hay detrás del correo?
Aunque el mensaje parece auténtico, hay señales claras de que se trata de una estafa. Todo el contenido del correo es una imagen, lo que impide seleccionar el texto con el ratón. Esta técnica se utiliza para evitar que los filtros antispam detecten el fraude.
Además, el nombre del archivo adjunto no coincide con lo que se menciona en el cuerpo del correo. Son detalles sutiles, pero importantes.
🔍 Señales sospechosas en la imagen:
- Referencia extraña en el asunto: “Ref# 149246 Signature Request-5fb75003-” no es habitual en comunicaciones internas.
- Archivo adjunto con extensión .doc: Los documentos Word pueden contener macros maliciosas. Normalmente, las políticas internas usan PDF seguros.
- Urgencia y acciones específicas: “Required Actions” y la instrucción de abrir el archivo son tácticas típicas de phishing.
- Dirección de correo parcialmente visible: No se puede confirmar si pertenece a un dominio corporativo legítimo.
- Mensaje sobre “Approved sender”: Esto puede ser manipulado para dar falsa sensación de seguridad.
El documento adjunto: una trampa bien diseñada
Al abrir el archivo, el usuario encuentra una portada con el logotipo de la empresa y el título “Manual del empleado”. También hay una tabla de contenido con secciones marcadas en rojo, indicando supuestos cambios. Luego, aparece una página con un código QR que promete acceso al documento completo.
El truco está en ese código. Al escanearlo, el usuario es redirigido a una página donde se le solicita ingresar sus credenciales corporativas. Este es el verdadero objetivo del ataque.
El documento está diseñado para parecer personalizado. El nombre del destinatario aparece dos veces, y el archivo también incluye su nombre. Todo esto refuerza la idea de que se trata de una comunicación legítima.
El documento empleado por los atacantes para atraer a la víctima
¿Por qué este método es tan efectivo?
La personalización es clave. Los atacantes han creado documentos únicos para cada destinatario, lo que sugiere el uso de un sistema automatizado capaz de generar correos y archivos personalizados. Esto aumenta la probabilidad de que el usuario confíe en el contenido y caiga en la trampa.
Este nivel de detalle hace que el ataque sea más difícil de detectar. La apariencia profesional y la personalización hacen que el correo parezca auténtico, incluso para usuarios con experiencia.
¿Cómo protegerse?
La mejor defensa contra este tipo de ataques es la prevención. Una buena estrategia incluye:
- Usar soluciones de seguridad especializadas que bloqueen correos maliciosos antes de que lleguen al buzón del usuario.
- Proteger todos los dispositivos utilizados para el trabajo, incluidos los teléfonos móviles. Más información aquí.
- Educar a los empleados sobre las tácticas modernas de estafa. Compartir recursos y fomentar la conciencia sobre ciberseguridad es fundamental. Una excelente opción es la Kaspersky Automated Security Awareness Platform.
Las campañas de phishing son cada vez más sofisticadas. Esta nueva modalidad, que simula actualizaciones de RR. HH., demuestra que los atacantes están invirtiendo tiempo y recursos para engañar a los usuarios. La clave está en estar alerta, verificar cada detalle y contar con herramientas de protección adecuadas.
No basta con confiar en la apariencia de un correo. Si algo parece sospechoso, lo más seguro es no abrirlo y reportarlo al equipo de seguridad. La educación y la prevención son nuestras mejores armas contra el phishing.
