¿Firmar un documento desde el celular en segundos? Suena cómodo; y lo es. Plataformas como Docusign han revolucionado cómo trabajamos, pero esa misma confianza se ha convertido en el anzuelo perfecto para los ciberdelincuentes.
Con más de 1,000 millones de usuarios y 1,7 millones de empresas como clientes, Docusign es el blanco ideal para ataques de ingeniería social. Y lo que parece un simple correo de firma electrónica puede terminar en el robo de credenciales, movimientos laterales dentro de la red corporativa, ransomware o incluso pérdida de dinero.
¿Cómo te atrapan?
Todo empieza con un correo muy parecido al original. A veces incluye un botón grande y amarillo para “Revisar documento”, otras veces un archivo adjunto con un código QR. Haces clic… y caes.
Ese clic te redirige a una página falsa que imita el inicio de sesión de Microsoft o una app empresarial. Introduces tus datos y el atacante ya tiene acceso.
Lo más peligroso: algunos hackers ni siquiera falsifican correos. Usan cuentas reales de Docusign y sus APIs para enviar sobres legítimos que parecen proceder de proveedores, entidades públicas o departamentos internos.
Casos reales.
- Sobres reales de Docusign usados para falsificar facturas y desviar pagos.
- Correos que simulan ser de autoridades locales para estafar a proveedores.
- Páginas falsas que imitan Recursos Humanos o Finanzas.
- Estafas de reembolso: una falsa transacción, una llamada, y el robo de tus datos personales o bancarios.
Imagen 1.
Ejemplo de estafa que abusa de la confianza de la gente en Docusign para robar datos (Fuente: Reddit)
¿Cómo protegerte y proteger a tu empresa?
La confianza es un sesgo poderoso y los atacantes lo saben. Por eso, hay que actuar en tres frentes: mente, sistema y cultura.
Activa la mente: formación y consciencia.
- Enseña a tu equipo a revisar los enlaces antes de hacer clic.
- Docusign nunca incluye archivos adjuntos en correos iniciales.
- Busca códigos de seguridad en los correos auténticos.
- Detecta señales de alerta: errores ortográficos, remitentes sospechosos, tono poco profesional.
Fortalece el sistema.
- Implementa autenticación multifactor (MFA).
- Usa gestores de contraseñas y aplica políticas de contraseñas fuertes.
- Instala seguridad multicapa (por ejemplo, ESET u otro proveedor reputado).
- Nunca confíes ciegamente: valida manualmente transferencias importantes con más de una persona.
Crear una cultura de reporte.
- Motiva a los usuarios a informar cualquier correo sospechoso.
- Reenvíalos también a spam@docusign.com.
- Crea simulaciones realistas de phishing como parte del entrenamiento.
¿Ya hiciste clic por error?
No entres en pánico, actúa rápido:
- Cambia todas las contraseñas asociadas.
- Aísla el dispositivo afectado.
- Escanea en busca de malware.
- Supervisa actividad inusual en las cuentas.
- Investiga si hubo acceso privilegiado o filtración de datos.
- Toma el evento como oportunidad de aprendizaje organizacional.
Las firmas electrónicas son herramientas poderosas. Pero, como todo poder, también requiere responsabilidad. Confía, sí, pero valida, observa y actúa con cabeza fría.
Fuente web: https://www.welivesecurity.com/es/phishing/correos-electronicos-phishing-simulan-docusign/
