{"id":28334,"date":"2025-08-02T23:20:38","date_gmt":"2025-08-03T05:20:38","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28334"},"modified":"2025-08-10T22:30:31","modified_gmt":"2025-08-11T04:30:31","slug":"employee-handbook-phishing-scheme","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/28334\/","title":{"rendered":"Nueva estafa de phishing atrae a los usuarios con actualizaciones falsas de la pol\u00edtica de RR. HH."},"content":{"rendered":"

Desde hace bastante tiempo, hemos estado viendo intentos de usar trucos de spear-phishing a escala masiva<\/a>. Estos esfuerzos se limitan normalmente a un estilo de correo electr\u00f3nico ligeramente mejor que el habitual que imita a una empresa espec\u00edfica, falsificando un remitente corporativo a trav\u00e9s de la t\u00e9cnica de ghost spoofing<\/a> y personalizando el mensaje, lo que, en el mejor de los casos, significa dirigirse a la v\u00edctima por su nombre. Sin embargo, en marzo de este a\u00f1o, comenzamos a notar una campa\u00f1a particularmente intrigante en la que no solo se personalizaba el cuerpo del correo electr\u00f3nico sino tambi\u00e9n el documento adjunto. El esquema en s\u00ed tambi\u00e9n fue un poco inusual: se trataba de enga\u00f1ar a las v\u00edctimas para que ingresaran sus credenciales de correo electr\u00f3nico corporativo con el pretexto de cambios en la pol\u00edtica de RR. HH.<\/p>\n

Una solicitud falsa para revisar nuevas pautas de RR. HH.<\/h2>\n

As\u00ed es como funciona. La v\u00edctima recibe un correo electr\u00f3nico, aparentemente de RR. HH., que se dirige a ella por su nombre. El correo electr\u00f3nico le informa de los cambios en la pol\u00edtica de RR. HH. con respecto a los protocolos de trabajo remoto, los beneficios disponibles y los est\u00e1ndares de seguridad. Naturalmente, cualquier empleado estar\u00eda interesado en este tipo de cambios, por lo que su cursor se desplaza naturalmente hacia el documento adjunto, que, por cierto, tambi\u00e9n incluye el nombre del destinatario en su t\u00edtulo. Adem\u00e1s, el correo electr\u00f3nico tiene un banner convincente que indica que el remitente est\u00e1 verificado<\/a> y que el mensaje proviene de una lista de remitentes seguros. Como muestra la experiencia, este es precisamente el tipo de correo electr\u00f3nico que merece un escrutinio adicional.<\/p>\n

\"Un<\/a>

Un mensaje de correo electr\u00f3nico de phishing dise\u00f1ado para atraer a las v\u00edctimas con actualizaciones falsas de la pol\u00edtica de RR. HH.<\/p><\/div>\n

Para empezar, todo el contenido del correo electr\u00f3nico es una imagen, incluido el banner verde tranquilizador y el saludo personalizado. Puede comprobarlo f\u00e1cilmente si intenta resaltar cualquier parte del texto con el rat\u00f3n. Un remitente leg\u00edtimo nunca enviar\u00eda un correo electr\u00f3nico de esta manera; simplemente no es pr\u00e1ctico. Imag\u00ednese a un departamento de RR. HH. que tenga que guardar y enviar im\u00e1genes individuales a cada empleado para un anuncio tan generalizado. La \u00fanica raz\u00f3n para incrustar texto como imagen es eludir los filtros antispam o antiphishing del correo electr\u00f3nico.<\/p>\n

Hay otras pistas m\u00e1s sutiles en el correo electr\u00f3nico que pueden delatar a los atacantes. Por ejemplo, el nombre e incluso el formato del documento adjunto no coinciden con lo que se menciona en el cuerpo del correo electr\u00f3nico. Pero en comparaci\u00f3n con el correo electr\u00f3nico \u201cpintoresco\u201d, estos son detalles menores.<\/p>\n

Un archivo adjunto que imita las pautas de RR.\u00a0HH.<\/h2>\n

Por supuesto, el documento adjunto no contiene pautas reales de RR.\u00a0HH. Lo que encontrar\u00e1 es una p\u00e1gina de t\u00edtulo con un peque\u00f1o logotipo de la empresa y un destacado encabezado \u201cManual del empleado\u201d. Tambi\u00e9n incluye una tabla de contenido con elementos resaltados en rojo para indicar cambios seguido de una p\u00e1gina con un c\u00f3digo QR (para acceder al documento completo). Finalmente, hay una instrucci\u00f3n muy b\u00e1sica sobre c\u00f3mo analizar c\u00f3digos QR con su tel\u00e9fono. El c\u00f3digo, por supuesto, conduce a una p\u00e1gina donde se le pide al usuario que introduzca sus credenciales corporativas, que es lo que buscan los autores del plan.<\/p>\n

\"Un<\/a>

El documento que los estafadores usan como se\u00f1uelo<\/p><\/div>\n

El documento est\u00e1 repleto de frases destinadas a convencer a la v\u00edctima de que va dirigido espec\u00edficamente a ella. Incluso su nombre se menciona dos veces: una vez en el saludo y otra vez en la l\u00ednea \u201cEsta carta est\u00e1 destinada a\u2026\u201d que precede a la instrucci\u00f3n. Ah, y s\u00ed, el nombre del archivo tambi\u00e9n incluye su nombre. Pero la primera pregunta que deber\u00eda plantear este documento es: \u00bfcu\u00e1l es el punto?<\/p>\n

Siendo realistas, toda esta informaci\u00f3n podr\u00eda haberse presentado directamente en el correo electr\u00f3nico sin crear un archivo personalizado de cuatro p\u00e1ginas. \u00bfPor qu\u00e9 un empleado de RR.\u00a0HH. ir\u00eda tan lejos y crear\u00eda estos documentos aparentemente in\u00fatiles para cada empleado? Sinceramente, al principio dud\u00e1bamos de que los estafadores se molestaran en llevar a cabo un plan tan elaborado. Pero nuestras herramientas confirman que todos los correos electr\u00f3nicos de phishing de esta campa\u00f1a contienen archivos adjuntos diferentes, cada uno \u00fanico para el nombre del destinatario. Es probable que estemos viendo el trabajo de un nuevo mecanismo de correo automatizado que genera un documento y una imagen de correo electr\u00f3nico para cada destinatario\u2026 o quiz\u00e1s solo algunos autores de phishing extremadamente dedicados.<\/p>\n

C\u00f3mo mantenerse seguro<\/h2>\n

Una soluci\u00f3n de seguridad especializada<\/a> puede bloquear la mayor\u00eda de los mensajes de correo electr\u00f3nico de phishing en el servidor de correo corporativo. Adem\u00e1s, todos los dispositivos utilizados por los empleados de la empresa para trabajar, incluidos los tel\u00e9fonos m\u00f3viles, tambi\u00e9n deben estar protegidos<\/a>.<\/p>\n

Adem\u00e1s, recomendamos educar a los empleados sobre las t\u00e1cticas modernas de estafa, por ejemplo, compartiendo recursos de nuestro blog y aumentando continuamente su conciencia general sobre la ciberseguridad. Esto se puede lograr a trav\u00e9s de plataformas como Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Un caso curioso de t\u00e9cnicas spear-phishing por correo electr\u00f3nico empleadas a gran escala.<\/p>\n","protected":false},"author":2598,"featured_media":28335,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[1869,31,6040,1931],"class_list":{"0":"post-28334","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-correo-electronico","11":"tag-phishing","12":"tag-signos-de-phishing","13":"tag-spear-phishing"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/28334\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/employee-handbook-phishing-scheme\/29164\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/24357\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/12596\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/employee-handbook-phishing-scheme\/29201\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/employee-handbook-phishing-scheme\/31169\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/employee-handbook-phishing-scheme\/29847\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/employee-handbook-phishing-scheme\/40117\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/employee-handbook-phishing-scheme\/13584\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/53836\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/employee-handbook-phishing-scheme\/22988\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/employee-handbook-phishing-scheme\/24017\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/employee-handbook-phishing-scheme\/32458\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/employee-handbook-phishing-scheme\/29399\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/employee-handbook-phishing-scheme\/35134\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/employee-handbook-phishing-scheme\/34774\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28334"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28334\/revisions"}],"predecessor-version":[{"id":28361,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28334\/revisions\/28361"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28335"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}