Una nueva campaña de phishing altamente personalizada fue detectada por Kaspersky, dirigida a empleados mediante correos electrónicos que aparentan ser comunicados legítimos del área de Recursos Humanos. Según el reporte, los atacantes personalizan tanto el contenido del correo como los archivos adjuntos, simulando documentos internos como actualizaciones de políticas laborales. Esta campaña representa una evolución significativa en las tácticas de suplantación de identidad, apuntando a la obtención de credenciales corporativas. Los mensajes incluyen el nombre del destinatario, una insignia falsa de "remitente verificado" y un archivo adjunto titulado como “Manual del Empleado”. Este documento, lejos de incluir directrices reales, presenta una portada, una tabla de contenidos con cambios supuestamente destacados y una página con un código QR que, al ser escaneado, dirige a una página fraudulenta solicitando ingresar las credenciales corporativas. Todo el cuerpo del correo es una imagen, lo que permite evadir los filtros de detección de texto de muchos sistemas de correo. Los atacantes incluso mencionan repetidamente el nombre de la víctima en el documento, simulando que fue creado exclusivamente para ella. Esta sofisticación preocupa especialmente considerando que, según un estudio reciente de Kaspersky, el 20% de los latinoamericanos no distingue un e-mail falso, lo que aumenta el riesgo de éxito de este tipo de ataques.
Andrea Fernández, gerente general para la región sur de América Latina en Kaspersky, advirtió:
“Esta campaña demuestra un nuevo nivel de profesionalismo en los ataques de phishing, y podríamos estar presenciando un nuevo mecanismo de automatización de correos que genera un documento adjunto y una imagen del cuerpo del correo por separado para cada destinatario. La táctica permite escalar el ataque y evadir las defensas tradicionales”.
“Las organizaciones deben priorizar medidas de seguridad avanzadas y la educación de los empleados para mantenerse al día sobre estas amenazas, especialmente en nuestra región”, añadió Fernández.
Como medidas de mitigación, Kaspersky recomienda:
Promover la verificación consciente entre los empleados, enseñándoles a detectar señales sospechosas como textos incrustados en imágenes, códigos QR no solicitados o remitentes con títulos inconsistentes.
Proteger el correo corporativo mediante soluciones avanzadas capaces de detectar y bloquear phishing en tiempo real.
Asegurar todos los dispositivos conectados a la red con software actualizado y protección antiphishing.
Impulsar la formación continua en ciberseguridad, mediante plataformas como Kaspersky Automated Security Awareness Platform, que ofrecen simulaciones reales para entrenar a los empleados frente a posibles amenazas.
La alerta subraya la necesidad urgente de adoptar una postura más activa y preventiva frente a amenazas que ya no dependen de mensajes genéricos, sino que utilizan técnicas altamente dirigidas y automatizadas.
