DocuSign, un importante proveedor de tecnología de firma electrónica, reconoció hoy que una serie de ataques recientes de phishing de malware dirigidos a sus clientes y usuarios fue el resultado de una violación de datos en uno de sus sistemas informáticos. La compañía enfatiza que los datos robados se limitaron a las direcciones de correo electrónico de clientes y usuarios, pero el incidente es especialmente peligroso porque permite a los atacantes apuntar a usuarios que ya pueden estar esperando hacer clic en enlaces en correos electrónicos de DocuSign.
DocuSign, con sede en San Francisco, advirtió el 9 de mayo que estaba rastreando una campaña de correo electrónico malicioso donde la línea de asunto dice: «Completado: docusign.com – Instrucciones de transferencia bancaria para el documento del nombre del destinatario listo para firmar». Las misivas contenían un enlace a una descarga Microsoft Word documento que albergaba malware.
Un correo electrónico típico de DocuSign. Imagen: DocuSign.
La compañía dijo en ese momento que los mensajes no estaban asociados con DocuSign y que fueron enviados por un tercero malicioso que usaba la marca DocuSign en los encabezados y el cuerpo del correo electrónico. Pero en una actualización El lunes por la noche, DocuSign confirmó que este tercero malicioso pudo enviar los mensajes a los clientes y usuarios porque había irrumpido y robado la lista de clientes y usuarios de DocuSign.
“Como parte de nuestra investigación en curso, hoy confirmamos que un tercero malicioso había obtenido acceso temporal a un sistema no central separado que nos permite comunicar anuncios relacionados con el servicio a los usuarios por correo electrónico”, escribió DocuSign en una alerta publicada en su sitio “Un análisis forense completo ha confirmado que solo se accedió a las direcciones de correo electrónico; no se accedió a nombres, direcciones físicas, contraseñas, números de seguro social, datos de tarjetas de crédito u otra información. No se accedió a ningún contenido ni a ningún documento del cliente enviado a través del sistema de firma electrónica de DocuSign; y el servicio principal de firma electrónica de DocuSign, los sobres y los documentos y datos de los clientes permanecen seguros”.
La compañía está pidiendo a las personas que reenvíen cualquier correo electrónico sospechoso relacionado con DocuSign a [email protected] y luego eliminen las misivas.
“Pueden parecer sospechosos porque no reconoce al remitente, no esperaba que firmara un documento, contienen errores ortográficos (como “docusgn.com” sin una ‘i’ o @docus.com), contienen un archivo adjunto o dirigen lo dirige a un enlace que comienza con algo que no sea https://www.docusign.com o https://www.docusign.net”, se lee en el aviso.
Si tiene motivos para esperar un documento de DocuSign por correo electrónico, no responda a un correo electrónico que parece ser de DocuSign haciendo clic en un vínculo del mensaje. En caso de duda, acceda a sus documentos directamente visitando docusign.come ingresando el código de seguridad único incluido en la parte inferior de cada correo electrónico legítimo de DocuSign. DocuSign dice que nunca pedirá a los destinatarios que abran un PDF, un documento de Office o un archivo ZIP en un correo electrónico.
DocuSign ya era un objetivo perenne para los phishers y creadores de malware, pero es probable que este incidente intensifique los ataques contra sus usuarios y clientes. DocuSign dice que tiene más de 100 millones de usuarios, y parece casi seguro que los delincuentes que robaron la lista de correo electrónico de los clientes de la empresa van a darle un uso nefasto durante algún tiempo.
Relacionado:
Ataques de malware basados en correo electrónico, julio de 2012: Krebs on Security
La violación de la contraseña condujo al correo no deseado: Krebs sobre seguridad
¿El servidor de correo electrónico de Clinton tenía una impresora basada en Internet? – Krebs sobre seguridad
