En una alarmante escalada de las tácticas de phishing, Kaspersky ha identificado una campaña avanzada dirigida a empleados que utiliza correos electrónicos personalizados y archivos adjuntos disfrazados como actualizaciones de políticas de Recursos Humanos. Estos ataques representan un riesgo real para las empresas, ya que el 20% de los latinoamericanos admiten no poder reconocer un correo electrónico falso, según un reciente estudio de la compañía.
Los correos electrónicos fraudulentos presentan un aspecto engañoso, con una insignia de «remitente verificado» para generar confianza, el nombre del destinatario y una invitación a abrir un archivo adjunto que supuestamente contiene información sobre protocolos de trabajo remoto, administración de beneficios y estándares de seguridad. Sin embargo, todo el cuerpo del mensaje es en realidad una imagen sin texto real, lo que se hace para eludir los filtros de correo electrónico.
Archivos Adjuntos Personalizados para Cada Víctima
El documento adjunto, que se hace pasar por una versión actualizada del «Manual del Empleado», no contiene ninguna directriz real. En su lugar, incluye una portada, una tabla de contenido con elementos resaltados en rojo, una página con un código QR (supuestamente para acceder al documento completo) y las instrucciones comunes sobre cómo leer códigos QR con un teléfono. Incluso menciona el nombre de la víctima varias veces para hacerle creer que fue creado específicamente para ella.
Si la víctima escanea el código QR y sigue el enlace, aterriza en una página fraudulenta donde se le solicita ingresar sus credenciales corporativas, que es justamente lo que buscan los atacantes.
Un Nuevo Nivel de Profesionalismo en los Ataques de Phishing
Según Andrea Fernández, gerente general para la región sur de América Latina en Kaspersky, «esta campaña demuestra un nuevo nivel de profesionalismo en los ataques de phishing, y podríamos estar presenciando un nuevo mecanismo de automatización de correos que genera un documento adjunto y una imagen del cuerpo del correo por separado para cada destinatario. La táctica permite escalar el ataque y evadir las defensas tradicionales».
Cómo Proteger a tu Empresa del Phishing Personalizado
Para evitar que los empleados abran la puerta a los cibercriminales, los expertos de Kaspersky recomiendan:
- Promover la verificación consciente: Enseñar a los empleados a identificar señales comunes de phishing, como texto en imagen, títulos inconsistentes o QR sospechosos, y pedirles que consulten directamente con Recursos Humanos si consideran que una solicitud es sospechosa.
- Proteger el correo corporativo: Implementar soluciones de seguridad en el servidor de correo que detecten y bloqueen intentos de phishing mediante análisis en tiempo real y reputación de remitentes.
- Asegurar la protección integral: Garantizar que cada uno de los equipos conectados a la red cuente con software de protección robusto, actualizado y con capacidades antiphishing y antimalware.
- Fortalecer la conciencia en ciberseguridad: Impulsar una cultura de prevención con entrenamientos automatizados y simulaciones de vulnerabilidades para desarrollar habilidades de ciberseguridad en los empleados.
Estas medidas son fundamentales para mantener a tu empresa a salvo de los cada vez más sofisticados ataques de phishing dirigidos.
