Según ha informado la empresa de ciberseguridad Wallarm, un grupo de cibercriminales ha comenzado a explotar la API de DocuSign en una sofisticada campaña de phishing que envía facturas falsas a usuarios corporativos. Este método, publicado por el medio especializado en ciberseguridad Bleeping Computer, permite que las estafas pasen desapercibidas para las herramientas de detección tradicionales, ya que los correos electrónicos fraudulentos provienen directamente de DocuSign y parecen solicitudes de firma legítimas, sin enlaces o archivos adjuntos maliciosos. El peligro reside en la autenticidad de la solicitud en sí.
La campaña observada se basa en la creación de cuentas legítimas y de pago en DocuSign, lo que permite a los atacantes personalizar plantillas de documentos y enviar correos a múltiples destinatarios directamente desde la plataforma, utilizando la API de «Envelopes: create API». Los mensajes imitan solicitudes de firmas electrónicas de marcas conocidas, y las facturas falsas están diseñadas con detalles que incluyen precios y cargos específicos, lo que refuerza su autenticidad.
Si un usuario firma electrónicamente estos documentos, los atacantes pueden enviar la factura a departamentos de finanzas y solicitar pagos fraudulentos, engañando a las organizaciones para que transfieran fondos a cuentas controladas por los delincuentes. Wallarm alerta que este método podría ser replicado en otras plataformas de firma electrónica que también permitan el acceso mediante API, lo que amplía el riesgo de este tipo de ataques.
Para protegerse, los expertos recomiendan que las organizaciones verifiquen cuidadosamente la dirección de correo del remitente y las cuentas asociadas para verificar su legitimidad, además de establecer controles internos que involucren a varios miembros en la aprobación de transacciones financieras y aprobación de compras. También sugieren que los empleados de IT reciban formación para identificar las tácticas de phishing más avanzadas, incluso cuando las solicitudes parecen proceder de fuentes fiables como DocuSign, para proteger a sus organizaciones.
Referencias
- https://blog.segu-info.com.ar/2024/11/ataques-de-phishing-mediante-abuso-de.html
- https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale/