{"id":19459,"date":"2019-10-15T11:46:17","date_gmt":"2019-10-15T09:46:17","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=19459"},"modified":"2019-11-22T10:46:04","modified_gmt":"2019-11-22T08:46:04","slug":"performance-appraisal-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/performance-appraisal-spam\/19459\/","title":{"rendered":"Phishing corporativo disfrazado de una evaluaci\u00f3n de rendimiento"},"content":{"rendered":"

Los ciberdelincuentes est\u00e1n ideando nuevas estratagemas para atraer a los empleados a sitios de phishing<\/em> con el objetivo de obtener las credenciales de cuentas empresariales. Anteriormente, las campa\u00f1as de spam<\/em> utilizaban las invitaciones en SharePoint<\/a> y los mensajes de voz<\/a> como cebo.<\/p>\n

Hace poco nuestros expertos han descubierto otra estrategia de phishing<\/em> en la que los ciberdelincuentes intentan imitar el proceso de la evaluaci\u00f3n de rendimiento de la empresa objetivo. El ataque es doble: los receptores piensan que la valoraci\u00f3n es (a) obligatoria y (b) que puede generar un aumento de sueldo. Vale la pena se\u00f1alar que en algunas empresas estas evaluaciones forman parte de la rutina del proceso de revisi\u00f3n salarial; de ah\u00ed que no despierten sospechas.<\/p>\n

Como de costumbre, todo comienza con un correo electr\u00f3nico. Un empleado recibe un mensaje supuestamente de Recursos Humanos que incita a realizar una evaluaci\u00f3n de rendimiento. El texto del mensaje contiene un enlace a un sitio web con un \u201cformulario de evaluaci\u00f3n\u201d que debe rellenar el empleado.<\/p>\n

<\/strong><\/p>\n

\u00a0Contra los reci\u00e9n llegados<\/h3>\n

Seg\u00fan las instrucciones, el usuario debe seguir el enlace, iniciar sesi\u00f3n, esperar un mensaje de correo electr\u00f3nico con informaci\u00f3n adicional y seleccionar una de las tres opciones. Para cualquier persona nueva en la empresa que no conoce el procedimiento de evaluaci\u00f3n, esta situaci\u00f3n puede parecer convincente. Solamente la direcci\u00f3n del sitio (que no guarda relaci\u00f3n alguna con los recursos corporativos) podr\u00eda levantar sospechas.<\/p>\n

Si el empleado abre el enlace, ver\u00e1 la p\u00e1gina de inicio de sesi\u00f3n del \u201cPortal de Recursos Humanos\u201d. A diferencia de muchos recursos de phishing<\/em> dise\u00f1ados para reproducir la apariencia de las p\u00e1ginas de inicio de sesi\u00f3n de servicios empresariales, esta parece absolutamente rudimentaria, con un fondo brillante monocromo o un fondo degradado y con unos campos de ingreso de datos que abarcan casi todo la p\u00e1gina. Para conceder autenticidad, los estafadores invitan al usuario a aceptar la pol\u00edtica de privacidad (sin proporcionar un enlace a dicho documento).<\/p>\n

\"\"<\/strong><\/p>\n

\"\"<\/p>\n

Se le pide a la v\u00edctima que ingrese su nombre de usuario, contrase\u00f1a y direcci\u00f3n de correo electr\u00f3nico. En algunos casos, los estafadores solicitan tambi\u00e9n la direcci\u00f3n del trabajo. Y al hacer clic en el bot\u00f3n de \u201ciniciar sesi\u00f3n\u201d o \u201ccomenzar evaluaci\u00f3n\u201d, en realidad el empleado est\u00e1 enviando los datos a los ciberdelincuentess.<\/p>\n

En este punto, es probable que la \u201cevaluaci\u00f3n\u201d termine de inmediato y que el empleado se quede esperando, en vano, el mensaje de correo electr\u00f3nico prometido, junto con m\u00e1s informaci\u00f3n. En el mejor de los casos, puede que sospeche que algo no est\u00e1 bien y env\u00ede un recordatorio al departamento de Recursos Humanos, quienes a su vez notificar\u00e1n al \u00e1rea de seguridad inform\u00e1tica. De no ser as\u00ed, la empresa podr\u00eda detectar el robo de identidad meses despu\u00e9s.<\/p>\n

Los peligros del secuestro de cuentas corporativas<\/h3>\n

Todo depende, por supuesto, de qu\u00e9 tecnolog\u00edas emplee la empresa en cuesti\u00f3n. Al obtener las credenciales de un empleado, el ciberdelincuente pod\u00eda llevar a cabo actos maliciosos; por ejemplo, podr\u00eda enviar mensajes de correo electr\u00f3nico a nombre de la v\u00edctima dirigidos contra otros empleados, socios y clientes de la empresa.<\/p>\n

El atacante tambi\u00e9n podr\u00eda ganar acceso a la correspondencia o a los documentos confidenciales internos, lo que incrementa las posibilidades de un ataque exitoso: es probable que los mensajes que parecen provenir de la v\u00edctima no solamente evadan los filtros de spam<\/em>, sino que tambi\u00e9n pueden generar en los destinatarios una falsa sensaci\u00f3n de seguridad. Despu\u00e9s, la informaci\u00f3n robada tambi\u00e9n podr\u00eda utilizarse para lanzar varios tipos de ataques dirigidos a nombre de la propia empresa, lo que incluye la vulneraci\u00f3n de los correos electr\u00f3nicos corporativos (BEC, por sus siglas en ingl\u00e9s).<\/p>\n

Adem\u00e1s, los documentos internos y los mensajes de los empleados pueden usarse para otras cosas; por ejemplo, para realizar chantajes o venderlos a la competencia.<\/p>\n

C\u00f3mo defenderse de los ataques de phishing<\/em><\/h3>\n

Estos ataques explotan sobre todo el factor humano. De ah\u00ed que sea crucial asegurarse de que los empleados est\u00e9n familiarizados con los procedimientos y los procesos de ciberseguridad de la empresa.<\/p>\n