La firma digital se ha convertido en una herramienta indispensable tanto para empresas como para particulares. Soluciones como DocuSign han simplificado enormemente procesos que antes requerían impresión, escaneo y envío físico de documentos. Sin embargo, esta eficiencia también ha despertado el interés de los ciberdelincuentes, que han comenzado a suplantar la identidad visual y funcional de DocuSign para lanzar campañas de phishing altamente sofisticadas.
ESET, compañía líder en ciberseguridad, alerta sobre el incremento de fraudes que imitan correos electrónicos legítimos de DocuSign con el objetivo de engañar a las víctimas y obtener sus credenciales, información financiera o acceso a redes corporativas. “El éxito y la confianza que genera una empresa como DocuSign la convierten en cebo perfecto que los atacantes pueden usar, aprovechando su imagen para hacer que el fraude pase desapercibido”, afirma Josep Albors, responsable de Investigación y Concienciación de ESET España. “Detectamos campañas que combinan el uso de enlaces falsos, códigos QR maliciosos e incluso cuentas legítimas de DocuSign para hacer que el engaño resulte más creíble y efectivo”.
Cómo operan los fraudes que suplantan a DocuSign
Con más de mil millones de usuarios en todo el mundo, incluido el 95 % de las empresas del Fortune 500, DocuSign representa una empresa atractiva que suplantar para los actores maliciosos. ESET advierte que los ataques suelen comenzar con un correo que aparenta proceder de DocuSign, con solicitudes para revisar o firmar un documento. En el cuerpo del mensaje, el usuario se encuentra con un botón llamativo o un archivo adjunto con un código QR que, al ser escaneado, redirige a una página falsa (frecuentemente una réplica del inicio de sesión de Microsoft).
Estas técnicas, basadas en ingeniería social, han demostrado ser efectivas: según datos de Verizon, el phishing es la vía inicial del 19 % de las brechas de datos y está presente en el 60 % de los incidentes por “factor humano”. Además, los QR maliciosos aprovechan la menor protección de los dispositivos móviles para sortear las medidas de seguridad convencionales.
En los últimos meses, ESET ha documentado varios casos en los que se han utilizado falsas facturas, suplantaciones a departamentos de recursos humanos o a entidades públicas, y hasta envíos legítimos desde cuentas reales de DocuSign creadas por los atacantes.
Claves para identificar un correo fraudulento
ESET ofrece una serie de recomendaciones prácticas para detectar los correos falsos y prevenir incidentes de seguridad:
- Verificar las URLs: pasar el cursor sobre los botones o enlaces antes de hacer clic para comprobar que llevan a direcciones legítimas.
- Código de seguridad: los correos auténticos de DocuSign siempre incluyen un código de acceso alternativo, que permite revisar el documento directamente desde la web oficial.
- Ausencia de adjuntos: un correo inicial nunca debería incluir archivos adjuntos.
- Errores lingüísticos: faltas de ortografía, un tono incoherente o inconsistencias en el nombre y la dirección del remitente son señales claras de suplantación.
- Firma del correo y nombre/dirección del remitente incoherentes: una discrepancia entre el nombre del remitente, su dirección de correo y la firma es un indicio de posible suplantación.
Además, es fundamental reforzar la protección con herramientas como autenticación multifactor (MFA), gestores de contraseñas y soluciones de seguridad de confianza que bloqueen accesos a sitios maliciosos.
Qué hacer si se ha sido víctima del fraude
En caso de haber hecho clic en un enlace malicioso o introducido información en una página fraudulenta, ESET recomienda actuar con rapidez, siguiendo a una serie de acciones específicas como:
- Cambiar inmediatamente las contraseñas.
- Cerrar sesiones activas y revocar accesos sospechosos.
- Ejecutar análisis de seguridad en los dispositivos implicados.
- Informar al equipo de TI y notificar a DocuSign y a las autoridades si se comprometen datos.
- Reforzar la formación interna para evitar nuevas incidencias.
Estas acciones son claves para contener el daño, impedir el acceso persistente de los atacantes y evitar futuras brechas de seguridad.
Seguridad digital para todos
Aunque el entorno empresarial es el más afectado por estos fraudes, ESET recuerda que los usuarios particulares también deben extremar precauciones. Muchos utilizan DocuSign en trámites personales - como la compra de una vivienda o la gestión de impuestos, por lo que conviene aplicar las mismas medidas de verificación y protección.
Las plataformas de firma electrónica son aliadas de la productividad y la eficiencia. Para que sigan siéndolo, es esencial no bajar la guardia ante quienes intentan aprovecharse de su fiabilidad. La clave está en la formación, la prevención y la acción rápida ante cualquier sospecha.