Phishing personalizado suplanta a Recursos Humanos para robar credenciales, según estudio

Santo Domingo.– Kaspersky identificó una avanzada campaña de phishing dirigida a empleados, utilizando correos electrónicos personalizados y archivos adjuntos disfrazados como actualizaciones de políticas de Recursos Humanos.

Se trata de una escalada significativa en las tácticas de phishing, en la que los atacantes personalizan no solo el cuerpo del correo, sino también los archivos adjuntos, adaptándolos a cada destinatario individual.

Esto representa un riesgo real para las empresas, considerando que el 20% de los latinoamericanos admite no poder reconocer un e-mail falso, según un reciente estudio de la compañía. El objetivo principal de esta campaña es engañar a la víctima para que ingrese sus credenciales de correo corporativo.

Es probable que los atacantes se hayan preparado investigando los nombres de los empleados para hacer los mensajes más convincentes.

Los correos incluyen una falsa insignia de “remitente verificado” para generar confianza, el nombre del destinatario y una invitación a abrir el archivo adjunto, supuestamente para revisar protocolos de trabajo remoto, administración de beneficios y estándares de seguridad.

Sin embargo, todo el contenido del mensaje es en realidad una imagen sin texto real, estrategia que les permite evadir los filtros de correo electrónico.

El archivo adjunto, presentado como una versión actualizada del Manual del Empleado, no contiene ninguna directriz legítima.

Incluye únicamente una portada, una tabla de contenido con supuestas modificaciones resaltadas en rojo, una página con un código QR (supuestamente para acceder al documento completo) y las instrucciones básicas para leer códigos QR con un teléfono.

El documento menciona varias veces el nombre de la víctima para reforzar la idea de que fue creado especialmente para ella.

Si la víctima escanea el código QR y sigue el enlace, es dirigida a una página fraudulenta donde se le solicita ingresar sus credenciales corporativas, que es justamente lo que buscan los atacantes.

“Esta campaña nos da visibilidad de cómo los cibercriminales llevan el phishing a una nueva etapa, donde cada mensaje parece hecho a medida para el destinatario.

Este nivel de personalización, sumado a técnicas diseñadas para evadir filtros de seguridad, representa un desafío serio para las empresas”, señala Daniela Álvarez de Lugo, gerente general para la región norte de América Latina en Kaspersky. “Es fundamental que las organizaciones combinen tecnología avanzada con capacitación constante para mitigar este tipo de riesgos”.

Recomendaciones de Kaspersky para evitar este tipo de ataques

• Promover la verificación consciente: Enseñar a los empleados a identificar señales comunes de phishing (como texto incrustado en imágenes, títulos inconsistentes o códigos QR sospechosos) y, en caso de duda, verificar directamente con el departamento de Recursos Humanos.
• Proteger el correo corporativo: Implementar soluciones de seguridad en el servidor que detecten y bloqueen intentos de phishing mediante análisis en tiempo real y verificación de la reputación de los remitentes.
• Contar con protección integral en todos los dispositivos: Garantizar que cada equipo conectado a la red disponga de software de seguridad robusto, actualizado y con capacidades antiphishing y antimalware.
• Fortalecer la conciencia en ciberseguridad: Impulsar una cultura de prevención mediante entrenamientos automatizados, ya que el factor humano sigue siendo uno de los principales eslabones en la seguridad digital empresarial.