Recibir un correo de una plataforma como DocuSign suele darte tranquilidad; después de todo, es una herramienta confiable que usan millones de personas. Pero, ¿y si te dijeramos que los ciberdelincuentes están aprovechando esa confianza para enviarte facturas falsas que parecen 100% reales? Recientemente los actores de amenazas han encontrado una forma de sacarle partido a la API Envelopes de DocuSign para crear y enviar facturas falsas que parecen totalmente legítimas, haciéndose pasar por marcas conocidas como Norton o PayPal.
Al usar un servicio confiable como DocuSign, los atacantes logran evadir los filtros de seguridad de los correos electrónicos, ya que los mensajes vienen de un dominio real de DocuSign (docusign.net). El truco está en hacer que las víctimas firmen los documentos electrónicamente, lo que luego les permite a los estafadores procesar pagos directamente, pasando por alto a los departamentos de facturación de las empresas.
DocuSign es esa herramienta súper conocida que usamos para firmar y gestionar documentos de forma digital, rápida y segura. Su API de sobres, una parte esencial de su sistema, está diseñada para que los desarrolladores puedan automatizar el envío de documentos, seguir su estado y recuperarlos una vez firmados. Todo esto suena genial… hasta que alguien la usa con malas intenciones.
Según investigadores de seguridad de Wallarm, algunos ciberdelincuentes están aprovechando cuentas legítimas de DocuSign (incluso cuentas pagas) para abusar de esta API y enviar facturas falsas que se ven idénticas a las de empresas confiables, como marcas de software populares.
El truco está en que, al tener acceso completo a las plantillas de la plataforma, estos atacantes pueden personalizar los documentos para que coincidan perfectamente con el diseño y la marca de las empresas que quieren suplantar. Luego, usan la función de la API llamada "Envelopes: create" para generar y distribuir masivamente estas facturas falsas, enviándolas a un montón de víctimas potenciales. ¿El resultado? Facturas que parecen 100% legítimas pero que son una completa trampa.
Solicitud maliciosa enviada por los actores de la amenaza
Según Wallarm, las cantidades que aparecen en estas facturas falsas suelen ser bastante realistas, lo que hace que parezcan aún más legítimas y convincentes para las víctimas. El problema es que, si alguien firma electrónicamente el documento, los atacantes pueden usar esa firma para solicitar un pago directamente a la empresa, ya sea fuera de DocuSign o enviando el documento firmado al departamento de finanzas como si fuera una factura genuina.
En algunos casos, han usado diferentes versiones de estas facturas con conceptos variados, pero el objetivo es siempre el mismo: conseguir que alguien firme y autorice pagos que terminan en las cuentas bancarias de los estafadores.
Te podrá interesar leer: Monitorización de Correo Electrónico con Wazuh
El abuso de DocuSign para enviar facturas falsas no es algo nuevo, y parece estar ocurriendo a gran escala. De hecho, varios usuarios han reportado este problema en los foros de la plataforma, denunciando la cantidad creciente de correos fraudulentos que llegan desde el dominio legítimo de DocuSign.
“De repente, estoy recibiendo entre 3 y 5 correos de phishing por semana desde docusign.net, y ninguna de las direcciones de soporte, como abuse@ o admin@, funciona”, comentó un usuario en el foro. “Los correos rebotan, y no encuentro información útil para denunciarlo. Supongo que solo me queda bloquear el dominio”.
Este tipo de ataques parecen ser automatizados, no simples intentos manuales, lo que les permite operar a gran escala y hace que sean más difíciles de detectar para la plataforma.
Uno de los mayores desafíos está en proteger los puntos de acceso a la API, especialmente porque los atacantes logran crear cuentas legítimas de DocuSign que les dan acceso completo a estas funciones avanzadas. Esto les permite realizar campañas masivas de phishing que son difíciles de diferenciar de las operaciones legítimas.
Y no es un problema exclusivo de DocuSign: el abuso de APIs es una táctica común que los ciberdelincuentes han utilizado antes. Casos recientes incluyen la extracción de datos de millones de usuarios de plataformas como Authy, Dell y Trello, lo que muestra que las APIs mal protegidas son una puerta de entrada recurrente para ataques de gran alcance. Con el crecimiento constante de estas amenazas, queda claro que las plataformas deben tomar medidas más estrictas para prevenir este tipo de abusos y proteger a sus usuarios.
Estamos al tanto de los informes y los tomamos muy en serio. Si bien, por el bien de la seguridad, no revelamos detalles que podrían alertar a los actores maliciosos sobre nuestras tácticas de prevención, Docusign cuenta con una serie de sistemas y equipos técnicos para ayudar a prevenir el uso indebido de nuestros servicios.
Monitoreamos continuamente varias capas de nuestros sistemas para identificar comportamientos asociados con fraudes y actividades ilegales, de modo que podamos investigar y actuar rápidamente para detener comportamientos sospechosos. - Portavoz de DocuSign.
DocuSign ofrece más información sobre sus medidas preventivas y técnicas de protección en este enlace.