{"id":15553,"date":"2019-10-15T10:57:16","date_gmt":"2019-10-15T16:57:16","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=15553"},"modified":"2019-11-22T02:45:28","modified_gmt":"2019-11-22T08:45:28","slug":"performance-appraisal-spam","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/performance-appraisal-spam\/15553\/","title":{"rendered":"Phishing corporativo disfrazado de evaluaci\u00f3n de desempe\u00f1o"},"content":{"rendered":"

Con tal de obtener las credenciales de cuentas empresariales, los cibercriminales est\u00e1n ideando nuevas estratagemas para atraer a los empleados a sitios de phishing<\/em>. Hubo campa\u00f1as pasadas de spam<\/em> que utilizaron como carnada las invitaciones en SharePoint<\/a> y los mensajes de voz<\/a>.<\/p>\n

Recientemente, nuestros expertos descubrieron otro esquema de phishing<\/em> en el cual los cibercriminales intentan imitar el proceso de evaluaci\u00f3n de desempe\u00f1o de la empresa objetivo. El ataque es doble: los recipientes piensan que la valoraci\u00f3n es (a) obligatoria; y (b) que puede producir un aumento de sueldo. Vale la pena se\u00f1alar que, en algunas empresas, dichas evaluaciones son parte de la rutina del proceso de revisi\u00f3n salarial; de ah\u00ed que no despierten sospechas.<\/p>\n

Como de costumbre, todo comienza con un correo electr\u00f3nico. Un empleado recibe un mensaje que parece provenir de Recursos Humanos y que recomienda realizar una evaluaci\u00f3n de desempe\u00f1o. El texto del mensaje contiene un enlace a un sitio web con un \u201cformulario de evaluaci\u00f3n\u201d que debe llenarse.<\/p>\n

Contra los reci\u00e9n llegados<\/strong><\/h2>\n

Seg\u00fan las instrucciones, el usuario debe seguir el enlace, iniciar sesi\u00f3n, esperar un mensaje de correo electr\u00f3nico con detalles adicionales y seleccionar una de las tres opciones. Para cualquier persona nueva en la empresa y sin conocimiento del procedimiento de evaluaci\u00f3n, esta serie de pasos puede lucir convincente. Solamente la direcci\u00f3n del sitio (que no guarda relaci\u00f3n alguna con los recursos corporativos) podr\u00eda levantar sospechas.<\/p>\n

Si el empleado sigue el enlace, ver\u00e1 una p\u00e1gina de inicio de sesi\u00f3n del \u201cPortal de Recursos Humanos\u201d. A diferencia de muchos recursos de phishing<\/em> dise\u00f1ados para reproducir la apariencia de las p\u00e1ginas de inicio de sesi\u00f3n de servicios empresariales, esta parece absolutamente rudimentaria, con un fondo brillante monocromo o un fondo degradado y con campos de ingreso de datos que cubren la p\u00e1gina. Y en aras de la autenticidad, los estafadores invitan al usuario a aceptar la pol\u00edtica de privacidad (sin proporcionar un enlace a dicho documento).<\/p>\n

\"\"\u00a0 \u00a0 \u00a0 \u00a0<\/strong><\/p>\n

\"\"<\/strong><\/p>\n

Se le pide a la v\u00edctima que ingrese su nombre de usuario, contrase\u00f1a y direcci\u00f3n de correo electr\u00f3nico. En algunos casos, los estafadores solicitan la direcci\u00f3n del trabajo. Y al hacer clic en el bot\u00f3n \u201ciniciar sesi\u00f3n\u201d o \u201cir a la evaluaci\u00f3n\u201d, el empleado en realidad env\u00eda los datos a los cibercriminales.<\/p>\n

En este punto, es probable que \u201cevaluaci\u00f3n\u201d termine abruptamente. En vano, el empleado esperar\u00e1 por un tiempo el mensaje de correo electr\u00f3nico prometido, junto con otros detalles. En el mejor de los casos, puede que sospeche que algo no est\u00e1 bien, y env\u00ede un cort\u00e9s recordatorio al departamento de Recursos Humanos, quienes a su vez notificar\u00e1n al \u00e1rea de seguridad de TI. De otro modo, la empresa podr\u00eda haber detectado el robo de identidad meses despu\u00e9s.<\/p>\n

Los peligros del secuestro de cuentas corporativas<\/strong><\/h3>\n

Todo depende, por supuesto, de qu\u00e9 tecnolog\u00edas emplee la empresa en cuesti\u00f3n. Al obtener las credenciales de un empleado, el cibercriminal pod\u00eda llevar a cabo fechor\u00edas; por ejemplo, podr\u00eda enviar a nombre de la v\u00edctima mensajes de correo electr\u00f3nico dirigidos contra otros empleados, socios y clientes de la empresa.<\/p>\n

El atacante tambi\u00e9n podr\u00eda ganar acceso a la correspondencia o los documentos confidenciales internos, lo que incrementa las posibilidades de un ataque exitoso: es probable que los mensajes que parecen provenir de la v\u00edctima no solamente evadan los filtros de spam<\/em>, sino que produzcan en los destinatarios una falsa sensaci\u00f3n de seguridad. Posteriormente, la informaci\u00f3n robada tambi\u00e9n podr\u00eda utilizarse para lanzar varios tipos de ataques dirigidos a nombre de la propia empresa, lo que incluye la vulneraci\u00f3n de los correos electr\u00f3nicos corporativos (BEC, por sus siglas en ingl\u00e9s).<\/p>\n

Adem\u00e1s, los documentos internos y los mensajes de los empleados pueden usarse para otras cosas; por ejemplo, para realizar chantajes o venderlos a la competencia.<\/p>\n

C\u00f3mo defenderse de los ataques de phishing<\/em><\/strong><\/h3>\n

Estos ataques explotan sobre todo el factor humano. De ah\u00ed que sea crucial asegurarse de que los empleados se encuentren familiarizados con los procedimientos y los procesos de ciberseguridad de la empresa.<\/p>\n