Phishing personalizado suplanta a Recursos Humanos para robar credenciales, según estudio

La empresa de ciberseguridad, Kaspersky identificó una avanzada campaña de phishing dirigida a empleados usando correos electrónicos personalizados y archivos adjuntos disfrazados como actualizaciones de políticas de Recursos Humanos.

De acuerdo con la compañía, se trata de una escalada significativa en las tácticas de phishing, con atacantes que personalizan no solo el cuerpo del correo electrónico, sino también los archivos adjuntos. Estos están dirigidos a cada destinatario individualmente.

Según señaló un estudio de la compañía, el 20% de los latinoamericanos admiten que no son capaces de reconocer un e-mail falso. Justamente, el objetivo de esta campaña es engañar a la víctima para que ingrese sus credenciales de correo corporativo.

Daniela Álvarez de Lugo, gerente general para la región norte de América Latina en Kaspersky, comentó que es probable que los atacantes se hayan preparado, analizando nombres de empleados para que la campaña fuera más dirigida y convincente.

“Los correos presentan un cuerpo engañoso. También una insignia fraudulenta de «remitente verificado» para generar confianza; el nombre del destinatario; y una invitación a abrir el archivo adjunto para revisar protocolos de trabajo remoto, administración de beneficios y estándares de seguridad. Sin embargo, todo el cuerpo del mensaje es, en realidad, una imagen sin texto real; esto se hace para eludir los filtros de correo electrónico”, explicó Álvarez.

Añadió que, si la víctima escanea el código QR y sigue el enlace, aterriza en una página fraudulenta donde se le solicita ingresar sus credenciales corporativas, que es justamente lo que buscan los atacantes.

Prevención ante el phishing

Para que las empresas eviten que sus empleados le abran la puerta de su red corporativa a los cibercriminales, los expertos de Kaspersky recomiendan:

• Promueve entre tus empleados la verificación consciente. Enseña a identificar señales comunes de phishing (como texto en imagen, títulos inconsistentes o QR sospechosos) y pídeles que si consideran que una solicitud no es clara o les resulta sospechosa, pregunten directamente con el equipo de Recursos Humanos.
• Protege el correo corporativo. Implementa soluciones de seguridad en el servidor de correo que detecten y bloqueen intentos de phishing mediante análisis en tiempo real y reputación de remitentes.
• Asegúrate de contar con protección integral en todos los dispositivos. Garantiza que cada uno de los equipos conectados a la red cuente con software de protección robusto, actualizado y con capacidades antiphishing y antimalware.
• Fortalece la conciencia en ciberseguridad. El factor humano sigue siendo una de los principales eslabones al hablar de seguridad digital empresarial, por eso impulsa una cultura de prevención con entrenamientos automatizados.

Más información y noticias de TENDENCIAS aquí.