Por revistaeyn.com
Hace unos años cada vez que se quería firmar y enviar un documento oficial se necesitaba imprimir, firmar, escanear, enviar por correo electrónico, e incluso por fax. Hoy, gran parte del trabajo lo hacen los proveedores de aplicaciones en la nube. Docusign, por ejemplo, afirma tener 1,7 millones de clientes en todo el mundo, y más de mil millones de usuarios.
Por otro lado, la ingeniería social es una de las mayores amenazas y, según Verizon, el phishing es el vector de acceso inicial en el 19 % de las violaciones de datos, y el 60% presenta una falla del factor humano.
Según señalan desde ESET, Docusign, por ser una marca de confianza y reconocida, se convirtió en una elección natural para recopilar inicios de sesión corporativos y potencialmente monetizar los ataques.
Este engaño comienza cuando los usuarios (víctimas tentativas) reciben un correo electrónico con un "sobre, o envelope, en inglés" falso de Docusign en el que se les pide que hagan clic en un gran recuadro amarillo para "revisar el documento", y también puede haber un archivo adjunto con un código QR.
Ambas acciones pueden conducir al mismo resultado: la víctima es conducida a un sitio de phishing, como una falsa página de inicio de sesión de Microsoft, y se le pide que introduzca información personal y/o financiera.
Desde ESET aclaran que hay varias estrategias y recaudos que se pueden tomar para mantenerse alejado de esta amenaza. Desde el punto de vista de una empresa, lo primero es ser consciente de los riesgos y actualizar los programas de concienciación sobre el phishing para asegurarse de que el personal es capaz de detectar las señales de un correo electrónico fraudulento.
En cuanto a las defensas con medidas ESET recomienda:
· Incorporar la autenticación multifactor (MFA) para todas las cuentas corporativas, que dificulta el acceso a los datos, incluso se produce el robo de credenciales.
· Incentivar la higiene de contraseñas, incluido el uso de contraseñas fuertes y únicas para cada cuenta, almacenadas en un gestor de contraseñas.
· Instalar una herramienta de seguridad multicapa de un proveedor reputado como ESET, que, entre otras cosas, detecta archivos adjuntos maliciosos, impide a los usuarios seguir enlaces a sitios de phishing y permite a los administradores definir manualmente las condiciones y acciones de filtrado del correo electrónico.
· Fortalecer la política de seguridad, e instar a los usuarios a no abrir archivos adjuntos ni seguir enlaces en correos electrónicos no solicitados, y a acceder a los documentos de Docusign únicamente a través del código de seguridad.
· Modificar los procesos empresariales internos relativos a las transferencias de fondos, de modo que cualquier cantidad elevada se someta a un escrutinio adicional.
