KASPERSKY ALERTA: PHISHING PERSONALIZADO SUPLANTA A RECURSOS HUMANOS PARA ROBAR CREDENCIALES
Kaspersky identificó una avanzada
campaña de phishing dirigida a empleados usando correos electrónicos
personalizados y archivos adjuntos disfrazados como actualizaciones de
políticas de Recursos Humanos. Se trata de una escalada significativa en las
tácticas de phishing, con atacantes que personalizan no solo el cuerpo del
correo electrónico, sino también los archivos adjuntos, dirigiéndose a cada
destinatario individualmente, lo que representa un riesgo real para las
empresas. Lo anterior debido a que el 25% de los colombianos admiten que no son
capaces de reconocer un e-mail falso, según un reciente estudio de la empresa, y justamente, el
objetivo de esta campaña es engañar a la víctima para que ingrese sus
credenciales de correo corporativo.
Es probable que los atacantes se hayan preparado, analizando nombres de empleados para que la campaña fuera más dirigida y convincente. Los correos presentan un cuerpo engañoso: una insignia fraudulenta de "remitente verificado" para generar confianza, el nombre del destinatario, y una invitación a abrir el archivo adjunto para revisar protocolos de trabajo remoto, administración de beneficios y estándares de seguridad. Sin embargo, todo el cuerpo del mensaje es, en realidad, una imagen sin texto real; esto se hace para eludir los filtros de correo electrónico.
El documento adjunto, que se hace pasar por una versión actualizada del “Manual del Empleado”, no contiene ninguna directriz real: solo incluye una portada, una tabla de contenido con los elementos que supuestamente han sido modificados resaltados en rojo, una página con un código QR (supuestamente para acceder al documento completo) y las instrucciones comunes sobre cómo leer códigos QR con un teléfono. El documento menciona varias veces el nombre de la víctima para hacerle creer que fue creado específicamente para ella.
Si la víctima escanea el código QR y sigue el enlace, aterriza en una página fraudulenta donde se le solicita ingresar sus credenciales corporativas, que es justamente lo que buscan los atacantes.
“Esta campaña nos da visibilidad de cómo los cibercriminales llevan el phishing a una nueva etapa, donde cada mensaje parece hecho a medida para el destinatario. Este nivel de personalización, sumado a técnicas diseñadas para evadir filtros de seguridad, representa un desafío serio para las empresas”, señala Daniela Álvarez de Lugo, gerente general para la región norte de América Latina en Kaspersky. “Es fundamental que las organizaciones combinen tecnología avanzada con capacitación constante para mitigar este tipo de riesgos”.
Para que las empresas eviten que sus empleados le abran la puerta de su red corporativa a los cibercriminales, los expertos de Kaspersky recomiendan:
·
Promueve entre tus empleados la verificación
consciente: enseña a identificar señales comunes de phishing (como texto en
imagen, títulos inconsistentes o QR sospechosos) y pídeles que si consideran
que una solicitud no es clara o les resulta sospechosa, pregunten directamente
con el equipo de Recursos Humanos.
·
Protege el correo corporativo:
implementa soluciones de seguridad en el
servidor de correo que detecten y bloqueen intentos de phishing mediante
análisis en tiempo real y reputación de remitentes.
·
Asegúrate de contar con protección integral en todos
los dispositivos: garantiza que cada uno de los equipos conectados a la
red cuente con software de protección robusto, actualizado y con capacidades
antiphishing y antimalware.
·
Fortalece la conciencia en ciberseguridad: el factor
humano sigue siendo una de los principales eslabones al hablar de seguridad
digital empresarial, por eso impulsa una cultura de prevención con
entrenamientos automatizados. Herramientas como Kaspersky Automated
Security Awareness Platform ofrecen formación continua y
simulaciones de vulnerabilidades para desarrollar habilidades de ciberseguridad
a los empleados.
Comentarios
Publicar un comentario