GM9000 Gen 5, el nuevo PREDATOR para profesionales
Los crackers requieren que sus mensajes sean abiertos. ¿Qué mejor cubierta, entonces, que el departamento de Recursos Humanos?
Esta nueva campaña fraudulenta muestra que la innovación es mucho más que tecnología. También es creatividad.
Según la conocida empresa de ciberseguridad en Internet Kaspersky Lab, con la más reciente campaña de phishing, la ingeniería social acaba de escalar a una nueva dimensión.
En apariencia, el campo de prueba es América Latina. Esta nueva campaña avanzada de phishing simula correos de Recursos Humanos con archivos adjuntos maliciosos.
La táctica incluye documentos con supuestas actualizaciones de protocolos de trabajo remoto, administración de beneficios y políticas de seguridad laboral.
El cuerpo del mensaje contiene una insignia falsa de remitente verificado, el nombre personalizado del destinatario y una invitación a revisar un archivo adjunto.
Sin embargo, el mensaje no incluye texto real: todo es una imagen diseñada para eludir análisis semántico por parte de herramientas antispam.
Según Kaspersky, estos mails han sido diseñados para evadir filtros tradicionales y engañar (incluso) a usuarios entrenados.
“Esta campaña nos da visibilidad de cómo los cibercriminales llevan el phishing a una nueva etapa, donde cada mensaje parece hecho a medida para el destinatario”, advierte la gerente general para la región norte de América Latina en Kaspersky, Daniela Álvarez de Lugo.
La hiperpersonalización como amenaza
La gerente general para la región norte de América Latina en Kaspersky destacó, además, que los archivos adjuntos de esta campaña maliciosa incluyen:
- Una portada
- Un índice con cambios resaltados en rojo
- Y un código QR que lleva a una página falsa para ingresar credenciales corporativas
La campaña utiliza información pública o filtrada sobre empleados para personalizar archivos, nombres y temas corporativos en el intento de phishing, logrando un alto nivel de verosimilitud.
El documento incluye varias menciones del nombre de la víctima para reforzar la sensación de autenticidad.
Una vez que se escanea el código QR, la víctima es dirigida a una web que emula el portal interno de su empresa, solicitando ingreso de usuario y contraseña.
Lo alarmante es que según datos de Kaspersky, el 20% de los latinoamericanos admite no saber identificar un correo falso. En un entorno corporativo donde el correo es el principal vector de operaciones, esta debilidad se convierte en puerta abierta a filtraciones, acceso no autorizado y ransomware.
“El factor humano sigue siendo uno de los principales eslabones al hablar de seguridad digital empresarial”, enfatizó Daniela Álvarez de Lugo, gerente general para la región norte de América Latina en Kaspersky.
Su declaración refleja que la tecnología por sí sola no basta: es indispensable una cultura organizacional orientada a la prevención activa.
Capacitación, base de la prevención inteligente
Para enfrentar la amenaza que supone que la mayoría de los usuarios no reconozca un email falso, se requiere de acciones de formación y capacitación.
Estas acciones deben convertirse en parte del ADN de la empresa, no en protocolos esporádicos.
Plataformas como Kaspersky Automated Security Awareness Platform permiten entrenar a los equipos mediante simulaciones de vulnerabilidades, mejorando la capacidad de detección en tiempo real.
Esta formación ayuda a que los colaboradores puedan identificar correos con texto incrustado en imágenes, inconsistencias en títulos o QR sospechosos.
En general, Kaspersky recomienda cuatro medidas clave:
1.- Promueva entre sus empleados la verificación consciente
Enseñe a sus colaboradores a identificar señales comunes de phishing como:
- Texto en imágenes
- Títulos inconsistentes
- O QR sospechosos
También pídales que, si consideran que una solicitud no es clara o les resulta sospechosa, pregunten directamente al equipo de Recursos Humanos.
2.- Protege el correo corporativo
Implemente soluciones de seguridad en el servidor de correo que detecten y bloqueen intentos de phishing mediante análisis en tiempo real y reputación de remitentes.
3.- Asegúrese de contar con protección integral en todos los dispositivos
Garantice que cada uno de los equipos conectados a la red cuente con software de protección robusto, actualizado, tanto con capacidades antiphishing como antimalware.
4.- Fortalece la conciencia en ciberseguridad
El factor humano sigue siendo una de los principales eslabones al hablar de seguridad digital empresarial.
Por eso, impulsar una cultura de prevención con entrenamientos automatizados.
