Campaña de phishing con códigos QR relacionados con bonificaciones de RR. HH. que se aprovecha de los procesos corporativos de fin de año
21 de noviembre de 2025
Suscríbase para recibir notificaciones sobre información de amenazas
- Tipo de amenaza: Sustracción de credenciales mediante phishing con códigos QR
- Marcas suplantadas: DocuSign, departamentos de recursos humanos de diversas empresas
- Vector principal: cuentas de correo electrónico comprometidas que envían archivos adjuntos en formato PDF con códigos QR incrustados
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una campaña activa de recopilación de credenciales que aprovecha cuentas de correo electrónico comprometidas para distribuir mensajes de phishing relacionados con recursos humanos, en los que se suplantan la identidad de DocuSign y de los departamentos de recursos humanos de empresas concretas. Esta campaña demuestra madurez operativa mediante el uso de cuentas comprometidas distribuidas geográficamente, el filtrado de dispositivos móviles y técnicas para eludir los CAPTCHA con el fin de evitar ser detectada.
Aprovechamiento oportuno de los procesos empresariales de fin de año
Esta campaña resulta especialmente preocupante debido al momento estratégico en que se ha llevado a cabo y al uso indebido de los procesos empresariales legítimos. A medida que las organizaciones se adentran en el último trimestre del año, los departamentos de recursos humanos de todos los sectores suelen poner en marcha los procesos de asignación de bonificaciones, las evaluaciones de rendimiento de fin de año y la inscripción en los planes de prestaciones. Los empleados esperan recibir comunicaciones legítimas sobre la remuneración, lo que los hace más vulnerables a los intentos de phishing relacionados con los recursos humanos. Los autores de las amenazas han aprovechado esta expectativa para elaborar mensajes convincentes que se ajustan a las actividades corporativas habituales de fin de año. La urgencia que transmiten los asuntos de los correos electrónicos como « ": Cerramos bien el año: ¡Rellene su formulario de bonificación!» y «" » aprovecha tanto el carácter urgente de los trámites de fin de año como el interés económico de los empleados por la información sobre las bonificaciones. Esta manipulación psicológica aumenta considerablemente la probabilidad de que los usuarios interactúen con contenidos maliciosos.
Cadena de ataques
La campaña se desarrolla mediante un proceso de varias fases:
- 1. Envío inicial: los correos electrónicos proceden de cuentas comprometidas y utilizan principalmente direcciones de remitente asociadas a servicios legítimos y dominios empresariales.
- 2. Ingeniería social: Mensajes que se hacen pasar por comunicaciones del departamento de Recursos Humanos relativas a formularios de bonificaciones o documentación de fin de año
- 3. Archivo adjunto en formato PDF: El correo electrónico contiene un archivo adjunto en formato PDF en el que aparecen el logotipo de la organización a la que va dirigido y la imagen corporativa del departamento de RR. HH., con el fin de dar una apariencia de legitimidad.
- 4. Redirección mediante código QR: El PDF contiene un código QR que redirige a los usuarios a un portal destinado a la recopilación de credenciales
- 5. Segmentación por dispositivos móviles: Algunas variantes utilizan filtros para garantizar que las conexiones procedan de dispositivos móviles, en los que los controles de seguridad pueden ser menos rigurosos
- 6. Robo de credenciales: Se redirige a los usuarios a una página de autenticación falsa diseñada para obtener sus credenciales corporativas
A continuación se muestran algunos de los ejemplos identificados
Una vez que el usuario escanea el código QR con su dispositivo móvil, se le redirige a un paso de verificación manual para garantizar la legitimidad.
A continuación, se solicita a los usuarios que introduzcan sus credenciales
Infraestructura técnica
El análisis de una variante de la infraestructura de fondo de la campaña revela un mecanismo de recopilación de credenciales. Las páginas de phishing utilizan técnicas de recopilación de datos basadas en JavaScript con las siguientes características:
- Intentos múltiples de envío: el script permite hasta tres intentos fallidos de autenticación antes de redirigir al portal legítimo de Microsoft Office, lo que da la impresión de que se trata de un problema temporal del servicio
- Gestión de errores: implementa una validación básica para garantizar que los usuarios introduzcan sus credenciales antes de continuar
- Exfiltración de datos: Las credenciales capturadas se transmiten mediante una solicitud POST a una infraestructura controlada por el atacante en https://jafaclink.net/nbm/sharethepoint/point/res.php
- Técnicas de evasión: Algunas variantes incorporan pruebas CAPTCHA diseñadas específicamente para eludir las herramientas de análisis de seguridad automatizadas
Protección de Mimecast
El equipo de investigación de amenazas de Mimecast ha desarrollado e implementado reglas de detección para identificar y bloquear esta campaña. Seguimos vigilando esta operación de amenazas para detectar cualquier evolución táctica y cambios en su infraestructura.
Destinatarios
Organizaciones internacionales
Indicadores de compromiso (IOC)
Recomendaciones
Formación en sensibilización de los usuarios:
- Se debe concienciar a los usuarios para que comprueben si se trata de estafas relacionadas con los recursos humanos y las bonificaciones, en lugar de escanear códigos QR
- Informe a los usuarios sobre los riesgos que conlleva escanear códigos QR procedentes de fuentes desconocidas, especialmente en los archivos adjuntos de los correos electrónicos
- Formar a los usuarios para que actúen con mayor precaución al acceder a contenidos relacionados con el trabajo en dispositivos móviles, donde los indicadores de seguridad pueden ser menos visibles
- Llevar a cabo simulaciones de phishing que incluyan situaciones relacionadas con códigos QR
Detección proactiva de amenazas:
- Busque en los registros de recibos de correo electrónico y en los registros de URL los indicadores técnicos relacionados con estas campañas
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!