Un estudio reciente de Kaspersky reveló una sofisticada campaña de phishing que está aprovechando la apariencia de departamentos de Recursos Humanos para engañar a empleados y obtener sus credenciales corporativas.
A diferencia de ataques más genéricos, esta operación se caracteriza por un alto nivel de personalización: cada correo electrónico y su archivo adjunto están adaptados a la víctima, incluyendo su nombre y referencias a protocolos internos de la empresa.
El mensaje llega con una supuesta actualización del “Manual del Empleado” y utiliza una táctica clave para evadir filtros de seguridad: todo el cuerpo del correo es una imagen sin texto real. Además, incluye una insignia falsa de “remitente verificado” y un lenguaje que invita a revisar cambios en políticas de trabajo remoto, beneficios o estándares de seguridad.
El archivo adjunto, en apariencia legítimo, contiene solo una portada, una tabla de contenido con supuestas modificaciones resaltadas y una página con un código QR. Al escanearlo, la víctima es dirigida a una página web fraudulenta que solicita sus credenciales de correo corporativo, objetivo final de los atacantes. La insistencia en personalizar el contenido sugiere que los criminales realizan una investigación previa para hacer el engaño más convincente.
Este tipo de ataque representa un riesgo significativo para las organizaciones, especialmente considerando que una parte importante de los usuarios en América Latina admite no ser capaz de identificar un correo electrónico falso.
Expertos recomiendan implementar medidas técnicas —como protección avanzada en el servidor de correo y soluciones antiphishing en todos los dispositivos— junto con un refuerzo constante en la formación de los empleados. Reconocer señales como el uso de imágenes en lugar de texto, títulos incoherentes o códigos QR inesperados puede marcar la diferencia para evitar que un simple clic abra la puerta a un incidente de seguridad.
