Un ataque sofisticado utiliza imágenes, QR maliciosos y personalización para robar credenciales corporativas.
Kaspersky advierte sobre una campaña de phishing que simula comunicaciones de Recursos Humanos con un nivel de personalización sin precedentes. Esta Phishing de nueva generación representa una amenaza directa para organizaciones que aún confían en filtros de seguridad tradicionales. Pero con mayor riesgo para las que carecen de entrenamiento continuo para su personal.
Según la compañía, los atacantes no solo diseñan correos aparentemente legítimos con imágenes que evaden los filtros antiphishing. Ahora, también adaptan el contenido y los archivos adjuntos con el nombre del empleado objetivo. Para lograrlo, el primer paso es que el documento malicioso se presenta como una actualización del manual interno de políticas, con un código QR. Al activarlo, se dirige a una página falsa donde se solicitan las credenciales del correo corporativo.
Frente a este tipo de ataque, Daniela Álvarez de Lugo, gerente general para la región norte de América Latina en Kaspersky, comenta: “Esta campaña nos muestra cómo los cibercriminales llevan el phishing a una nueva etapa, donde cada mensaje parece hecho a medida para el destinatario”.
Ingeniería social avanzada y evasión de filtros
Como es de notar, este tipo de ataque demuestra cómo el phishing ha evolucionado desde los mensajes genéricos hacia estrategias sofisticadas de ingeniería social personalizada. Para lograrlo, e cuerpo del mensaje no contiene texto real: es una imagen que simula un correo auténtico, con una insignia de “remitente verificado” y una narrativa diseñada para generar confianza inmediata.
Además, el uso del nombre del empleado y la mención de beneficios laborales o protocolos de seguridad remota refuerzan la ilusión de legitimidad. A final, cuando se abre el documento adjunto, la víctima encuentra una tabla de contenido y un código QR con instrucciones. De esta forma se activa la trampa ya que el usuario se motiva a escanea el código y accede al sitio fraudulento.
Riesgo alto: 1 de cada 4 colombianos no distingue un correo falso
Un estudio reciente de Kaspersky indica que el 25% de los usuarios en Colombia no son capaces de identificar un correo electrónico fraudulento, lo que eleva el riesgo en organizaciones con cientos o miles de empleados conectados.
El ataque apunta directamente a obtener acceso no autorizado a los sistemas corporativos y podría derivar en movimientos laterales dentro de la red, exfiltración de datos, robo de propiedad intelectual o ataques posteriores como ransomware.
Afrontando el riesgo del Phishing de nueva generación
Frente a este panorama, Kaspersky propone una combinación de soluciones tecnológicas y capacitación permanente, especialmente en empresas con operaciones remotas o modelos híbridos:
1. Promover la verificación consciente
Capacitar a los empleados en señales comunes de phishing: uso de imágenes en lugar de texto, códigos QR sospechosos, remitentes con nombres conocidos pero dominios inusuales o mensajes que generen urgencia.
2. Proteger el correo corporativo
Implementar soluciones de seguridad con análisis en tiempo real, listas de reputación de remitentes y protección contra contenido malicioso en archivos adjuntos o enlaces.
3. Blindar todos los dispositivos
Contar con software de protección actualizado en cada endpoint conectado a la red empresarial, incluyendo capacidades antiphishing y antimalware.
4. Fortalecer la cultura de ciberseguridad
Invertir en entrenamientos continuos, con plataformas automatizadas que simulen escenarios de ataque reales. Herramientas como Kaspersky Automated Security Awareness Platform permiten desarrollar habilidades prácticas y medir el progreso del equipo.
¿Qué deberían hacer las organizaciones frente al Phishing de nueva generación?
Este tipo de amenazas no se combaten solo con firewalls o antivirus. Requieren una visión integral de riesgo digital, donde el comportamiento humano es el principal frente de defensa. A medida que los ataques se vuelven más sofisticados y personalizados, la inversión en cultura y conciencia de ciberseguridad se convierte en una necesidad estratégica, no en una opción.
“Es fundamental que las organizaciones combinen tecnología avanzada con capacitación constante para mitigar este tipo de riesgos”, concluye Álvarez de Lugo.
Profundice sobre este tema de seguridad y mucho más en Estratech-IA