Una campaña de phishing de alta sofisticación está circulando por correos corporativos en América Latina, según alertó la firma de ciberseguridad Kaspersky. El ataque está dirigido específicamente a trabajadores de empresas, y emplea técnicas cada vez más elaboradas para engañar al destinatario.
La novedad de esta ofensiva está en la personalización detallada del contenido, tanto en el cuerpo del mensaje como en el archivo adjunto, diseñado para parecer una actualización oficial del manual del empleado.
Los correos fraudulentos están disfrazados como comunicaciones de Recursos Humanos y hacen referencia a protocolos de trabajo remoto, beneficios y medidas de seguridad. La apariencia es convincente, ya que incluyen una insignia falsa de "remitente verificado", el nombre del empleado y una invitación a revisar un supuesto archivo con cambios relevantes, advierten los expertos en ciberseguridad. Pero todo el cuerpo del mensaje es una imagen, sin texto real, una táctica empleada para eludir los filtros antiphishing tradicionales que revisan el contenido escrito.
El engaño continúa en el documento adjunto, titulado “Manual del Empleado”. A simple vista, parece un archivo institucional, dado que tiene portada, tabla de contenido y menciones reiteradas al nombre de la persona que lo recibe, lo que refuerza la sensación de legitimidad. Sin embargo, contiene solo una página con un código QR que redirige a un sitio fraudulento donde se pide ingresar las credenciales corporativas.
“Esta campaña demuestra un nuevo nivel de profesionalismo en los ataques de phishing, y podríamos estar presenciando un nuevo mecanismo de automatización de correos que genera un documento adjunto y una imagen del cuerpo del correo por separado para cada destinatario. La táctica permite escalar el ataque y evadir las defensas tradicionales”.
Andrea Fernández, gerente general para la región sur de América Latina en Kaspersky
Correos hechos a la medida y empleados vulnerables
Kaspersky advierte que los atacantes probablemente realizaron un análisis previo de nombres de empleados para personalizar los mensajes, una técnica que apunta a hacer más creíble el contenido y aumentar la probabilidad de que la víctima caiga en la trampa.
Esto se vuelve especialmente peligroso si se considera que, según datos recientes de la empresa, uno de cada cinco latinoamericanos admite que no sabe identificar un correo electrónico falso.
El propósito final del ataque es obtener las claves de acceso al correo corporativo de la víctima. Con esta información, los ciberdelincuentes pueden no solo acceder a información confidencial, sino también lanzar nuevas campañas desde direcciones legítimas, extendiendo el daño dentro de la organización.
Para evitar que los empleados abran la puerta a los atacantes, Kaspersky sugiere varias medidas. Entre ellas, promover la verificación consciente, enseñando a reconocer elementos sospechosos como imágenes con texto en lugar de texto real o archivos que contienen solo códigos QR; reforzar la seguridad del correo electrónico mediante herramientas de análisis en tiempo real; y proteger todos los dispositivos conectados con software actualizado y con capacidades antiphishing.
