DocuSign - Estafa por correo electrónico del departamento legal

Los correos electrónicos inesperados pueden suponer importantes riesgos para la ciberseguridad, sobre todo cuando generan una sensación de urgencia y parecen provenir de marcas de confianza. Los ciberdelincuentes suelen aprovecharse de empresas conocidas para que los mensajes fraudulentos parezcan convincentes y aumenten la probabilidad de que los destinatarios interactúen con ellos. El correo electrónico fraudulento «DocuSign - Documento del Departamento Legal» es un ejemplo de ello. Estos correos no están asociados con DocuSign ni con ninguna empresa, organización o entidad legítima. En realidad, forman parte de una campaña de spam malicioso diseñada para distribuir malware.

Solicitud de documento legal falso

Investigadores de ciberseguridad han analizado estos correos electrónicos y los han identificado como mensajes de spam malicioso diseñados para engañar a los destinatarios y que descarguen software malicioso. Los correos electrónicos suelen tener como asunto "Supply Chain Regulatory Filing ID#SCR-392847" y afirman provenir del Departamento Legal de DocuSign.

Según el mensaje, se ha enviado un documento para su firma electrónica y debe revisarse en un plazo de tres días. Para reforzar la ilusión de legitimidad, el correo electrónico incluye un botón destacado de «Revisar documento» y ofrece un «Método de firma alternativo» acompañado de un código de seguridad. Estos elementos están cuidadosamente diseñados para que la solicitud parezca auténtica y fiable.

Si bien DocuSign es una plataforma legítima de firma electrónica, no tiene ninguna relación con esta campaña. Además, la dirección de correo electrónico del remitente proviene de un dominio de terceros ajeno a la campaña, y no de DocuSign.

El verdadero propósito detrás del correo electrónico

El objetivo final de la estafa es persuadir a los destinatarios para que descarguen un archivo de imagen de disco ISO malicioso. Tanto si las víctimas hacen clic en el botón proporcionado como si siguen las instrucciones alternativas, se las redirige hacia la obtención del archivo dañino.

Los archivos ISO pueden ser montados directamente por Windows como unidades virtuales, lo que los convierte en herramientas atractivas para los ciberdelincuentes. Los atacantes suelen usar este formato porque a veces puede eludir los filtros de seguridad que, de otro modo, bloquearían archivos adjuntos maliciosos más obvios.

Una vez montado el archivo ISO, se revela un único archivo ejecutable llamado:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

El nombre del archivo es intencionadamente engañoso. La inclusión de «.DOC» pretende que el archivo parezca un documento inofensivo de Microsoft Word. En realidad, la extensión final «.exe» lo identifica como un programa ejecutable capaz de ejecutar código en el ordenador de la víctima.

¿Qué sucede después de abrir el archivo?

Aún no se ha identificado con certeza el malware exacto distribuido a través de esta campaña. Sin embargo, el archivo podría instalar diversas amenazas peligrosas, como ransomware, troyanos bancarios, programas para robar credenciales, registradores de pulsaciones de teclas, troyanos de acceso remoto (RAT) u otros tipos de software malicioso.

Las posibles consecuencias incluyen:

• Robo de nombres de usuario, contraseñas e información financiera.
• Robo de identidad, pérdidas financieras, acceso no autorizado al sistema y cifrado de datos.

Dado que se desconocen las capacidades del malware, cualquier interacción con el archivo ejecutable debe considerarse un incidente de seguridad grave.

Señales de alerta que revelan la estafa

A pesar de la apariencia convincente del mensaje, varios indicios sugieren actividad fraudulenta. El correo electrónico apela fuertemente a la urgencia al imponer un plazo de tres días para la revisión de documentos. Además, hace referencia a un identificador de archivo legal para generar una sensación de importancia y presionar a los destinatarios para que actúen con rapidez sin verificar la solicitud.

El uso de una marca reconocida como DocuSign es otra táctica común de ingeniería social. Los ciberdelincuentes saben que los usuarios tienden a confiar más en servicios conocidos, especialmente cuando el mensaje parece profesional y contiene detalles como códigos de verificación o instrucciones para firmar.

Qué hacer si recibe este correo electrónico

Los destinatarios deben evitar interactuar con el mensaje de cualquier forma. Lo más seguro es eliminar el correo electrónico de inmediato y abstenerse de abrir archivos adjuntos, hacer clic en enlaces, descargar archivos o seguir cualquier instrucción que contenga el mensaje.

Quienes ya hayan descargado o ejecutado el archivo deben desconectar el dispositivo afectado de la red, si es posible, y realizar un análisis exhaustivo con un antivirus o software de seguridad de endpoints de confianza. Asimismo, deben cambiar las contraseñas potencialmente comprometidas desde un dispositivo limpio, especialmente si se han expuesto cuentas confidenciales.

Cómo las campañas de spam propagan el malware

La campaña con temática de DocuSign es solo un ejemplo de una tendencia más amplia en el cibercrimen. Los correos electrónicos no deseados maliciosos siguen siendo uno de los métodos más comunes para distribuir malware. Los atacantes suelen disfrazar el contenido dañino como facturas, avisos legales, actualizaciones de entrega, alertas de cuenta o documentos comerciales.

Los formatos comunes de distribución de malware incluyen archivos ZIP y RAR, archivos ejecutables, documentos PDF, archivos de Microsoft Office, scripts y formatos de imagen de disco como archivos ISO e IMG. Algunos archivos maliciosos inician el proceso de infección en cuanto se abren, mientras que otros requieren acciones adicionales del usuario, como habilitar macros, extraer contenido comprimido o ejecutar archivos ejecutables integrados.

Reflexiones finales

La estafa por correo electrónico «DocuSign - Documento del Departamento Legal» demuestra cómo los ciberdelincuentes combinan la suplantación de identidad de marcas de confianza, mensajes con temática legal y una falsa sensación de urgencia para engañar a las víctimas y que ejecuten malware. Si bien el mensaje puede parecer auténtico a primera vista, su verdadero propósito es infectar sistemas y potencialmente comprometer información confidencial. Mantener una actitud cautelosa ante los correos electrónicos no solicitados, especialmente aquellos que solicitan una acción inmediata o la descarga de archivos, sigue siendo una de las defensas más eficaces contra este tipo de amenazas.