Estafa por correo electrónico: Documento listo para su firma

Los correos electrónicos inesperados que solicitan una acción urgente siempre deben tratarse con precaución, especialmente si involucran información confidencial o acceso a cuentas. Los ciberdelincuentes suelen suplantar la identidad de marcas y servicios de confianza para engañar a los destinatarios y obtener sus credenciales o la instalación de software malicioso. Un ejemplo reciente es la estafa de correo electrónico "Documento listo para su firma", una campaña de phishing que utiliza falsamente el nombre de DocuSign para engañar a los destinatarios. Estos mensajes no tienen ninguna relación con DocuSign ni con ninguna organización legítima.

Una notificación falsa disfrazada de correo electrónico de DocuSign

Los correos electrónicos con el asunto "Documento listo para su firma" están diseñados para parecerse a las notificaciones oficiales de DocuSign, un servicio de firma electrónica muy utilizado. En ellos se indica que se ha enviado un documento al destinatario para su revisión y firma.

Para resultar convincentes, los correos electrónicos incluyen un formato profesional, referencias a un cifrado seguro y un botón grande de "Revisar y firmar documento". Además, se les informa a los destinatarios que el proceso de firma solo toma un par de minutos, creando una falsa sensación de urgencia y comodidad con el fin de reducir las sospechas.

Estas tácticas están cuidadosamente diseñadas para presionar a los usuarios a hacer clic en el enlace proporcionado sin verificar si el mensaje es auténtico.

La página de inicio de sesión fraudulenta detrás del enlace

Al hacer clic en el botón del correo electrónico, los usuarios son redirigidos a una página de phishing alojada en storage.yandexcloud.net, un servicio legítimo de almacenamiento en la nube que ha sido utilizado indebidamente por estafadores para distribuir contenido fraudulento.

En lugar de mostrar un documento real, la página web presenta una pantalla de inicio de sesión falsa que solicita las credenciales de la cuenta de correo electrónico. Durante el análisis de esta estafa, se observó que la página de phishing mostraba un mensaje falso de Gmail para "Verificar que eres tú", solicitando a los usuarios que ingresaran su dirección de correo electrónico y contraseña.

La página fraudulenta parece capaz de adaptar su diseño según el proveedor de correo electrónico de la víctima. Por ejemplo, los usuarios de Gmail podrían ver una interfaz de inicio de sesión falsa, mientras que a los usuarios de otros proveedores se les mostrarían páginas de inicio de sesión simuladas, diseñadas para parecerse a sus respectivos servicios de correo electrónico. Esta personalización tiene como objetivo hacer que la estafa parezca más creíble.

¿Por qué son peligrosas las credenciales de correo electrónico robadas?

Cualquier información ingresada en el formulario de phishing se envía directamente a los atacantes. El acceso a una cuenta de correo electrónico brinda a los ciberdelincuentes amplias oportunidades para abusar de ella, ya que las bandejas de entrada suelen estar conectadas a numerosos servicios y cuentas en línea.

Las credenciales de correo electrónico comprometidas pueden permitir a los atacantes:

• Restablecer contraseñas para cuentas bancarias, de compras y de redes sociales

• Acceso a correspondencia personal o comercial confidencial

• Suplantar la identidad de la víctima en comunicaciones fraudulentas.

• Lanza ataques de phishing adicionales utilizando la cuenta comprometida.

• Vender credenciales robadas a otros ciberdelincuentes.

En muchos casos, una sola cuenta de correo electrónico comprometida se convierte en la puerta de entrada a un robo de identidad y un fraude financiero más amplios.

DocuSign no está involucrado.

Aunque la estafa imita descaradamente la imagen de marca y los mensajes de DocuSign, el servicio legítimo de DocuSign no tiene ninguna relación con estos correos electrónicos. Los ciberdelincuentes simplemente se aprovechan del nombre reconocible de la empresa y su estilo de notificación familiar para ganarse la confianza de los destinatarios.

Este tipo de suplantación de identidad es común en las campañas de phishing porque los usuarios son más propensos a interactuar con correos electrónicos que parecen provenir de servicios establecidos y de buena reputación.

Riesgos de malware vinculados a correos electrónicos no deseados

Las estafas de phishing no se limitan al robo de credenciales. Los correos electrónicos no deseados también se utilizan ampliamente para distribuir malware y otro software malicioso. En algunos casos, se adjuntan archivos maliciosos directamente a los correos electrónicos, mientras que otras campañas se basan en enlaces que conducen a descargas peligrosas.

El contenido malicioso distribuido a través de mensajes de spam puede presentarse como archivos PDF, documentos de Microsoft Office, archivos comprimidos, programas ejecutables o archivos JavaScript. Algunas infecciones se activan simplemente al abrir el archivo, mientras que otras requieren interacción adicional, como habilitar macros o ejecutar instaladores.

Los enlaces fraudulentos incluidos en correos electrónicos no deseados también pueden redirigir a los usuarios a sitios web diseñados para descargar malware automáticamente o incitar a las víctimas a instalar aplicaciones dañinas manualmente.

Cómo protegerse de las campañas de phishing

Las estafas de phishing siguen evolucionando y con frecuencia imitan a empresas conocidas para parecer legítimas. Mantenerse alerta ante correos electrónicos inesperados, especialmente aquellos que solicitan acciones urgentes o credenciales de inicio de sesión, es una de las maneras más efectivas de evitar ser víctima.

Los destinatarios siempre deben verificar la autenticidad de los correos electrónicos antes de hacer clic en enlaces o abrir archivos adjuntos. Los mensajes sospechosos que contengan solicitudes inesperadas de documentos, peticiones de inicio de sesión o tácticas de presión deben ignorarse y eliminarse para reducir el riesgo de que la cuenta sea comprometida, se produzcan infecciones de malware y se produzca robo de identidad.