Phishing: Los atacantes usan software de firma electrónica para enviar correos electrónicos con enlaces maliciosos

Rahim Kaba, 17 de Noviembre de 2021

Firmar acuerdos electrónicamente ahorra tiempo y hace que sea más fácil para las empresas cerrar contratos de venta, abrir cuentas bancarias y solicitar seguros sin necesidad de tener reuniones cara a cara, pero algunos servicios de firma electrónica también pueden presentar riesgos inesperados.

Varios grupos y expertos en ciberseguridad cibernética han advertido en los últimos meses que están circulando estafas de firmas electrónicas e intentos de phishing que utilizan DocuSign para firmar documentos electrónicamente. Según las últimas noticias de Security Intelligence en un artículo titulado Phishing: Hay atacantes que usan DocuSign para enviar enlaces maliciosos, el tipo de ataque más reciente funciona de esta manera: los  ciberdelincuentes se registran para obtener una cuenta gratuita de DocuSign o se apoderan de la cuenta de otra persona y cargan un archivo malicioso que luego se hace pasar por un sobre legítimo de DocuSign.   

Si estos tipos de técnicas de suplantación de identidad terminan afectando a los clientes finales, podrían generar descargas de malware en el sistema operativo (como ransomware) y, en el peor caso, los piratas informáticos podrían llegar a realizar robo de identidad y la información personal de los clientes, como el número de cuenta bancaria, dirección de correo electrónico, nombre de usuario o números de tarjetas de crédito. 

En este blog, echamos un vistazo a las estrategias detrás de las estafas de phishing y cómo una solución de firma electrónica consciente de la seguridad puede ayudar a prevenir este tipo de ataques así como otros tips anti-phishing.

Por qué los ciberdelincuentes utilizan las estafas de phishing de DocuSign

El aumento de las estafas de phishing está relacionado con un mayor uso de las firmas electrónicas como elemento crucial en los entornos de trabajo remoto creados por la pandemia de COVID-19. Los estafadores utilizan ataques de phishing, enviando mensajes de correo electrónico falsos, que supuestamente provienen de marcas reconocidas como DocuSign. Los proveedores de software como DocuSign son un objetivo constante de los estafadores (2017, 2018, 2019, 2020, 2021), y estos delincuentes a menudo envían correos electrónicos falsos desde el servicio de firma electrónica del proveedor. DocuSign es un objetivo importante y frecuente para los ataques de phishing debido al uso generalizado de la marca para las firmas electrónicas y notificaciones por correo electrónico.

Al igual que el vishing (llamada telefónica), y el smishing (mensajes de textos). El phishing continúa siendo uno de los ataques fraudulentos de ingeniería social más comunes y exitosos a nivel mundial y todo indica que lo seguirá siendo en el futuro. La idea del phishing es engañar a los usuarios para que hagan clic en enlaces maliciosos y terminen por descargar malware o proporcionar información confidencial a los delincuentes. El aumento de los ataques de suplantación de identidad de servicios web, un tipo de ataque de phishing que utiliza una marca reconocida, utiliza un sitio web falso y correos electrónicos falsos que solicitan a las personas que inicien sesión y, sin saberlo, muchos entregan sus credenciales y datos personales a los delincuentes. Con las credenciales robadas, los piratas informáticos pueden iniciar sesión en otros servicios como entidades bancarias, cuentas paypal, o redes sociales. Debido a que muchas personas tienen la costumbre de reutilizar las mismas credenciales en diferentes cuentas en línea, los delincuentes pueden poner en marcha un programa automatizado para probar las credenciales en muchos servicios web y, si tienen éxito, usarlas para hacerse pasar por la víctima y robar fondos o más información.

Los estafadores son oportunistas y se adaptan a los eventos actuales y a la actividad comercial del momento, que van desde correos electrónicos de phishing relacionados con el coronavirus hasta estafas relacionadas con los impuestos sobre la renta. Una táctica frecuente hacer que el malware parezca algo tan rutinario como una factura o un aviso de envío. De acuerdo a un Informe de amenazas de eSentire Threat Intelligence, tener credenciales comprometidas en Facebook o LinkedIn, afectará su vida personal más que ninguna otra cosa; pero “el robo de las credenciales de DocuSign o Dropbox podría tener un grave impacto en una empresa”. Cuando las credenciales se reutilizan para varias cuentas en una organización, si esas credenciales se ven comprometidas, esto puede tener implicaciones aún más graves.

Dentro de una estafa de phishing de firma electrónica

Las campañas de phishing suelen suceder de esta manera: Un atacante envía un "sobre" de firma electrónica a su víctima. El destinatario recibe un correo electrónico que le pide que revise y firme un documento. En circunstancias normales, el destinatario simplemente haría clic en el enlace "revisar documento" y firmaría electrónicamente el documento. Sin embargo, en un ataque de phishing, el correo electrónico contiene enlaces a un sitio web de phishing que pide al destinatario que revele información personal y financiera, o un enlace a un documento malicioso que, si se ejecuta, descarga malware en la computadora de quien lo recibe. Si el destinatario cae en la trampa, el atacante puede usar la información obtenida para acceder a su cuenta bancaria, o a portales de tarjetas de crédito y otros servicios en línea.

4 formas de defenderse contra los ataques de phishing relacionados con las firmas electrónicas

1. Proteja su marca y a sus clientes contra los correos electrónicos de phishing

El modelo comercial de DocuSign utiliza su propia marca en sus comunicaciones, con correos electrónicos de firmas electrónicas que ponen a sus clientes y a los clientes finales en riesgo de ser víctimas de ataques maliciosos, como estafas de phishing. Por eso es importante elegir una solución que permita a su organización personalizar completamente la experiencia de firma para que su marca esté al frente y en el centro de la experiencia en todo momento.

Esta personalización con su marca es lo primero que puede hacer para proteger su marca, generar confianza entre sus firmantes y lograr tasas de finalización muy altas. No está de más ser alarmistas, pues cada vez más personas son conscientes de las tácticas engañosas de los ataques de phishing y cada vez hay más información acerca de la seguridad de los correos electrónicos, así que es probable que muchos destinatarios apelen a su sentido común y desconfíen si reciben un correo electrónico con la marca de una organización que no sea la suya. Si alguien espera una invitación de su banco o compañía de seguros para firmar electrónicamente, es probable que simplemente borren el correo si proviene del dominio de un proveedor de servicios que no conocen.

Por eso es muy importante que las notificaciones por correo electrónico solo mencionen su marca, así como integrar el servicio de firma electrónica con sus servidores de correo electrónico para que los correos se envíen desde su dominio (p. ej., @yourbank.com) en lugar de provenir del dominio del servicio de firma. En OneSpan, esta es nuestra filosofía y es una razón clave por la que algunas de las marcas más conscientes de la seguridad del mundo confían en nuestra solución OneSpan Sign.

Consejos de personalización de marca para ayudar a prevenir ataques de phishing:

  • Integre la herramienta de firma electrónica con sus propios servidores de correo electrónico para que los correos electrónicos sean enviados desde su dominio (p. ej., @yourbank.com)
  • Personalice el contenido y la apariencia de las notificaciones por correo electrónico
  • Personalice los colores, el logo y la visibilidad de elementos como encabezados, barras de navegación, pies de página, etc.
  • Personalice los cuadros de diálogo y mensajes de error

etiquetado blanco

2. Agregue autenticación más sólida para que el acceso a sus acuerdos sea seguro

Además de la personalización con su marca, las empresas nunca deben subestimar la importancia de las medidas de seguridad, como la verificación y autenticación de la identificación. Según Microsoft, la autenticación multifactor puede “prevenir el 99.9% de los ataques a sus cuentas” y es una de las principales formas en que los equipos y expertos en seguridad se protegen en línea. Cuando se trata de phishing, el uso de métodos de autenticación sólidos es un elemento disuasorio más valioso que la autenticación de correo electrónico de un solo factor.

OneSpan Sign ofrece una variedad de opciones de verificación y autenticación de la identidad para proteger sus acuerdos de alto valor, de modo que pueda añadir las firmas a sus documentos con confianza. Le ofrecemos la flexibilidad de elegir el nivel de seguridad que necesita. Ayudamos a asegurar que solo puedan acceder a sus acuerdos y a la función de firmas las personas a los que están destinados, con opciones de autenticación que incluyen SMS, preguntas y respuestas, autenticación basada en el conocimiento y verificaciones de documentos oficiales de identificación.

3. “Aplanar” documentos para combatir los ataques de superposición

Otro tipo de ataque que vale la pena mencionar son los llamados “ataques de sombra” (shadow attacks). En los ataques de sombra, los estafadores preparan un documento PDF malicioso que contiene contenido invisible. Este tipo de ataque suele aprovechar las vulnerabilidades de los programas de visualización de PDF y aprovecha la forma en que se muestra el contenido en los documentos antes de que se firmen electrónicamente. Esto crea vulnerabilidades en la seguridad del proceso de crear un acuerdo digital.

Los archivos PDF a menudo contienen varios niveles con contenido diferente en cada uno. “Aplanar” un documento cargado antes de que se envíe para su firma es un método para evitar este riesgo. OneSpan Sign, por ejemplo, elimina cualquier contenido dinámico del documento antes de que se procese y de esta manera se prepara un acuerdo que está listo para firmar. Como resultado, cualquier campo del formulario utilizado como vehículo para reemplazar el contenido mediante un enlace superpuesto se elimina del documento y el ataque se evita de forma automática. Este es un nivel adicional de seguridad en nuestro enfoque que ayuda a mantener la confiabilidad de las firmas electrónicas y crea una experiencia de firma sin complicaciones.

4. Educar a los empleados sobre cómo detectar un correo electrónico de phishing

Le recomendamos que eduque a sus empleados sobre los ataques de phishing, que normalmente se realizan a través de enlaces en correos electrónicos que se hacen pasar por correos de DocuSign. Explíqueles que hay dos elementos clave que indican que la solicitud de firma electrónica es una estafa:

  • No esperan ningún documento para firmar. Si un socio comercial quiere que uno de sus empleados firme un acuerdo, lo normal es que primero se comunique con el empleado y le informe que va a enviarle una solicitud de firma. Si un empleado no espera una solicitud para firmar un documento, aconséjele que informe sobre el correo electrónico como una probable estafa de phishing y que lo elimine. No deben hacer clic en ningún hipervínculo o archivo adjunto.
  • Ven que el remitente o dominio de correo electrónico no es el esperado. Si un empleado recibe una solicitud de firma electrónica inesperada, siempre debe verificar el dominio de correo electrónico del remitente. Si el correo electrónico no proviene del dominio de un socio comercial legítimo, es probable que sea una estafa.

Además, los errores ortográficos, tipográficos y gramaticales en la línea de asunto o en el texto del correo electrónico también son indicadores de que el correo electrónico podría ser una estafa de phishing. Los correos electrónicos de phishing también suelen utilizar formas de saludo muy genéricas, ya que a menudo se usan una y otra vez, o pueden enviarse de forma masiva a una gran lista de víctimas desprevenidas. 

General confianza en lo digital con empleados y clientes

La pandemia y el cambio de paradigma hacia un estilo de vida remoto demuestran la gran importancia de las firmas electrónicas y digitales en nuestras vidas, pero este mayor uso de tecnologías y canales digitales también viene acompañado por un creciente riesgo de ser víctima de un fraude. Es probable que algunos de sus empleados y clientes sean engañados para hacer clic en solicitudes de firma electrónica aparentemente legítimas, y que luego ingresen sus credenciales de correo electrónico y estos terminen en manos de delincuentes cibernéticos.

Los problemas relacionados con los ataques de phishing de firmas electrónicas son un excelente ejemplo de la importancia de proteger sus procesos de acuerdos digitales. En OneSpan, estamos enfocados en la seguridad de los acuerdos digitales y en la experiencia del cliente en todas las áreas de nuestro negocio, Compruebe las capacidades de su solución de firma electrónica para asegurarse de que incluya medidas de seguridad como la personalización con su marca, sólidas opciones de autenticación y aplanamiento de documentos para asegurarse de que sus firmantes estén protegidos contra las estafas de phishing de firmas electrónicas.

Seguro de automóvil de estudio de caso
Case Study

23% Higher Completion Rates

Within 30 days of replacing DocuSign as their e-sign provider, this insurer saw a 23% increase in application completion rates. The reason: a fully white-labeled experience.

Read More

Rahim Kaba es un líder tecnológico digital apasionado y orientado a los resultados que ha desempeñado un papel clave en el avance de las iniciativas de digitalización en organizaciones de todo el mundo. Como vicepresidente de marketing de productos en OneSpan, dirige la estrategia de salida al mercado de la creciente cartera de soluciones de la empresa