¿Te acuerdas cuando tenías que imprimir, firmar, escanear y enviar por correo electrónico (o incluso fax) cada documento oficial? Hoy en día, aplicaciones en la nube como DocuSign hacen gran parte del trabajo. Pero, como toda marca tecnológica popular, los ciberdelincuentes buscan formas de abusar de ella. DocuSign tiene millones de clientes en todo el mundo, lo que la convierte en un objetivo jugoso para el phishing.
¿Cómo funciona el phishing de DocuSign?
La ingeniería social es una gran amenaza para tu empresa. El phishing es una vía de acceso inicial para muchas brechas de seguridad. DocuSign, como marca de confianza, es un señuelo perfecto para los ciberdelincuentes que buscan robar credenciales o monetizar ataques.
Las víctimas reciben un correo electrónico falso de DocuSign que les pide hacer clic en un botón para revisar un documento. A veces, incluyen un código QR. Ambas acciones llevan a una página de phishing, como una página de inicio de sesión falsa de Microsoft, donde solicitan información personal o financiera.
Los códigos QR son populares porque requieren que el usuario los escanee con su móvil, que puede no tener software de seguridad. Un ataque de phishing como este permite a los ciberdelincuentes acceder a redes corporativas para escalar privilegios, moverse lateralmente y extraer datos o lanzar ransomware.
Ejemplos de estafas con DocuSign
En los últimos meses, han aparecido incidentes como:
- Sobres de DocuSign que simulan facturas de proveedores para engañar a las empresas y que transfieran dinero.
- Estafas de facturas falsas que se hacen pasar por agencias estatales y municipales para engañar a los proveedores para que envíen dinero.
- Ciberdelincuentes que registran cuentas reales en DocuSign y usan sus APIs para enviar sobres legítimos que se hacen pasar por marcas populares.
- Correos electrónicos de phishing que simulan ser de DocuSign y llevan al usuario a páginas de inicio de sesión falsas. Estos pueden simular ser de departamentos de recursos humanos, nóminas o incluso entidades externas.
- Estafas de reembolso que citan una transacción falsa y tratan de obligar a la víctima a llamar a un número para cancelarla. Una vez al teléfono, la persuaden para que entregue sus datos personales, financieros o de tarjeta para reclamar el reembolso.
¿Cómo mantenerse a salvo del phishing?
Afortunadamente, hay muchas cosas que puedes hacer para protegerte a ti y a tu empresa de las amenazas de DocuSign.
Consejos para empresas y empleados
Desde la perspectiva de una empresa, lo primero es ser consciente de los riesgos y actualizar los programas de concienciación sobre el phishing para que el personal pueda detectar las señales de advertencia de un correo electrónico fraudulento. Las herramientas de simulación deben ser lo suficientemente personalizables para soportar esto.
Los trabajadores deben aprender a detectar lo siguiente:
- URLs de destino: pasa el ratón por encima de los enlaces o botones en los correos electrónicos de DocuSign para comprobar que las URLs de destino son legítimas.
- Códigos de seguridad: estos deben aparecer en cualquier correo electrónico legítimo de DocuSign (en la sección Método de inicio de sesión alternativo) y permitir al usuario acceder a un documento directamente en el sitio de DocuSign en lugar de seguir los enlaces de un correo electrónico.
- Archivos adjuntos: no debe haber archivos adjuntos en un correo electrónico inicial de DocuSign. Solo una vez que se ha firmado un documento, recibirás una versión finalizada del mismo a través de un archivo adjunto.
- Errores de ortografía, gramática y tono: son otra señal reveladora de un correo electrónico de phishing.
- Una firma de correo electrónico y un nombre/dirección de correo electrónico del remitente que no coinciden.
Además, puedes añadir capas de defensa:
- Autenticación multifactor (MFA) para todas las cuentas corporativas.
- Higiene de contraseñas: usa contraseñas fuertes y únicas para cada cuenta, almacenadas en un gestor de contraseñas.
- Una herramienta de seguridad multicapa de un proveedor de confianza.
- Política actualizada para instar a los usuarios a no abrir archivos adjuntos ni seguir enlaces en correos electrónicos no solicitados, y a acceder a los documentos de DocuSign solo a través del código de seguridad.
- Cambiar los procesos internos de negocio con respecto a las transferencias de fondos, de modo que cualquier suma grande esté sujeta a un escrutinio adicional.
- Animar a los usuarios a informar de todos los correos electrónicos sospechosos con el tema de DocuSign a su equipo de IT/seguridad y a [email protected].
¿Qué hacer si eres víctima del phishing?
Si un empleado hace clic en una estafa de DocuSign, como administrador, deberás realizar una serie de acciones:
- Restablecer las contraseñas del usuario afectado, incluyendo cualquier cuenta en la que haya reutilizado las credenciales.
- Ejecutar un análisis de malware en la máquina de la víctima para detectar y eliminar cualquier código malicioso.
- Aislar el dispositivo de la red para contener el radio de explosión de un ataque.
- Monitorizar la dark web en busca de signos de robo o filtración de información.
- Monitorizar las cuentas de la víctima en busca de actividad inusual.
- Investigar a fondo para entender lo que el atacante quería y si consiguió obtener acceso interno elevado.
- Utilizar el evento como un momento de aprendizaje para los empleados: animándoles a informar de los correos electrónicos sospechosos rápidamente y a estar en guardia en general sobre los correos electrónicos no solicitados.
DocuSign no solo lo utilizan las empresas. Es posible que te hayas expuesto a él a título personal al comprar una casa o al completar trámites fiscales. En ese caso, muchos de los consejos anteriores te serán útiles. Las aplicaciones de firma electrónica son un gran ahorro de tiempo. Pero asegúrate de no ser víctima de estafadores que se aprovechan de tu confianza en estas aplicaciones.