Los ataques de phishing evolucionan constantemente y ahora tienen un nuevo señuelo: DocuSign, la popular plataforma de firma electrónica.
En los últimos meses, expertos en ciberseguridad han detectado un incremento de campañas maliciosas que suplantan notificaciones oficiales del servicio para engañar a usuarios y obtener acceso a información confidencial. ¿Cómo funciona este nuevo tipo de fraude y cómo protegerse?
LEA TAMBIÉN: Phishing: ¿cómo evitar ser víctima de los ciberataques?
El engaño detrás de una firma digital
Este nuevo esquema se enmarca dentro del “spear phishing”, un tipo de ataque dirigido que explota la confianza que usuarios y empresas depositan en plataformas como DocuSign.
“El ataque comienza con el envío de correos electrónicos falsificados que imitan las notificaciones legítimas de DocuSign”, explica Fabiana Ramírez, security researcher de ESET Latinoamérica en entrevista con Gestión.
“En muchos casos, el mensaje contiene un botón o un código QR malicioso que, al ser escaneado o clickeado, redirige al usuario a un sitio web falso que simula ser de Microsoft 365, donde se solicita el ingreso de información personal o financiera”, agregó.
LEA TAMBIÉN: Ciberseguridad: ¿Cuáles son los retos que deben tomar en cuenta las empresas este 2025?
¿Quiénes están en la mira?
Los ciberdelincuentes apuntan especialmente a sectores donde el intercambio digital de documentos es clave.
“Los más afectados suelen ser despachos de abogados, notarios, instituciones financieras, entidades gubernamentales y empresas”, precisa Ramírez.
Para lograr su cometido, los atacantes combinan varias técnicas de ingeniería social, que incluyen desde la suplantación de identidad hasta la presión psicológica.
“Utilizan logos, firmas digitales y dominios que imitan a los originales. A esto se suma un lenguaje que genera urgencia, para que las personas actúen sin pensar. Incluso falsifican documentos o facturas para perfeccionar el engaño”, advierte la investigadora.
LEA TAMBIÉN: Kaspersky: empresas de Perú enfrentaron más de 9 millones de ataques en un año
Consecuencias graves para empresas y usuarios
“Las consecuencias pueden ir desde el compromiso de cuentas corporativas, el acceso no autorizado a información confidencial, hasta infecciones con malware o pérdidas económicas por transferencias fraudulentas”, señala la especialista de ESET.
También advierte sobre posibles consecuencias legales, especialmente si se expone información de terceros: “Un incidente así puede derivar en multas o sanciones si no se cumplen normativas de protección de datos”.
En Perú el problema no es aislado ni menor: “Según la telemetría en ESET, el 62% de las detecciones en Perú durante los primeros meses del año corresponden a campañas de phishing, consolidándose como el vector inicial más utilizado”, sostiene Ramírez.
A nivel regional, el 61% de los incidentes reportados por empresas están vinculados a técnicas de ingeniería social como estas.
LEA TAMBIÉN: Ciberseguridad: las principales amenazas que afectan a los usuarios y cómo prevenirlas
Cómo detectar una notificación falsa de DocuSign
La especialista recomienda estar atentos a señales como:
- Errores ortográficos o de formato.
- Correos enviados desde dominios inusuales.
- Enlaces o códigos QR sin explicación.
- Solicitudes de información confidencial.
- Mensajes genéricos o con tono alarmista.
“Una notificación legítima de DocuSign no debería pedirte datos personales directamente ni presionarte con amenazas de vencimiento inmediato”, aclara.
Medidas de protección clave
Para evitar caer en estos engaños, Ramírez recomienda:
- “Capacitación en ciberseguridad para todos los empleados, con énfasis en el reconocimiento de intentos de phishing”.
- “Uso de autenticación multifactor (MFA) para evitar accesos indebidos”.
- “Soluciones de seguridad como antiphishing y antimalware”.
- “Verificar siempre por otro canal si un correo parece sospechoso”.
LEA TAMBIÉN: Cinco consejos para potenciar la ciberseguridad de tu empresa
Para Ramírez, más allá de la tecnología, el problema principal sigue siendo humano: “Más del 60% de los incidentes de seguridad involucran errores humanos o falta de concientización”.
Por eso insiste en la necesidad de una cultura organizacional en ciberseguridad.
“Es clave hacer simulacros de phishing, fomentar el reporte inmediato de mails sospechosos y que el liderazgo esté comprometido. Además, la capacitación debe ser constante”, concluye.
Escribo sobre política, economía y afines. Periodista con nueve años de experiencia en prensa escrita, radio y televisión.
