Estafadores usan correos falsos de DocuSign para robar cuentas de Apple Pay

La sofisticación de las campañas de phishing ha alcanzado nuevos niveles mediante la combinación de tácticas que involucran correos apócrifos de firmas reconocidas, como Apple y DocuSign, junto con notificaciones falsas relacionadas con cobros realizados a través de Apple Pay.

Estos mensajes falsificados buscan crear una sensación de urgencia en los usuarios para forzarlos a llamar a números telefónicos manejados por los propios estafadores, todo amparado bajo una apariencia legítima y profesional.

Circulan actualmente correos electrónicos diseñados para suplantar comprobantes de compra generados supuestamente por sistemas de pago como Apple Pay. En estos mensajes, los usuarios reciben información sobre un pago presuntamente aplicado a su cuenta, incluyendo datos como un número de factura y una cantidad concreta, junto a un número de teléfono para resolver cualquier inconveniente.

El principal propósito de estos correos es llevar a la víctima a comunicarse con un supuesto agente de soporte, que en realidad es un estafador.

Para reforzar la credibilidad del engaño, los delincuentes adoptan la imagen y el lenguaje corporativo de empresas reconocidas: Apple, Netflix y Expedia, entre otras. De ese modo, suman legitimidad al mensaje, dificultando la detección de la estafa.

Otra maniobra frecuente consiste en incorporar enlaces a plataformas de confianza, como DocuSign, acompañados de códigos de seguridad que aparentan servir como protección adicional, pero que únicamente buscan persuadir al usuario de la autenticidad de la comunicación.

Uno de los signos reveladores de este esquema consiste en el canal de contacto. Los mensajes instan al destinatario a realizar una llamada telefónica ante cualquier duda o cuando el cobro no resulta reconocible.

Esta invitación traslada la conversación a un entorno controlado por el estafador, quien se presenta como trabajador de soporte, solicitando desde credenciales de Apple ID hasta información financiera confidencial, o incluso proponiendo la instalación de aplicaciones para controlar el dispositivo a distancia.

También pueden exigir pagos extra bajo el pretexto de brindar servicios de protección o revertir cargos indebidos.

Esta táctica se combina con otros elementos visuales y discursivos que refuerzan la puesta en escena. El uso de recibos digitalmente elaborados, logotipos oficiales y la incorporación de enlaces externos aparentan brindar seriedad y rapidez en la resolución del supuesto inconveniente.

En consecuencia, la presión psicológica crece y las víctimas, en busca de una solución rápida, se exponen a entregar información sensible o realizar pagos innecesarios.

Aunque la sofisticación de estos fraudes puede dificultar su detección, existen detalles puntuales que permiten identificarlos. Una característica clave radica en la dirección de correo del remitente.

Es común que en estas campañas se utilicen caracteres poco familiares o sustituciones mínimas, como reemplazar una letra con su equivalente cirílico, una táctica que esquiva los filtros automáticos de spam y engaña incluso a usuarios atentos. Así, una simple variación en una letra puede transformar la apariencia de la palabra “Billing” y pasar desapercibida.

Otra incongruencia relevante se observa en la elección de las plataformas para enviar notificaciones. Empresas como Apple no remiten recibos de facturación a través de servicios como DocuSign. Esto constituye una señal de alerta que pone en entredicho la legitimidad del mensaje recibido. Identificar este tipo de discrepancias contribuye a evitar caer en el engaño.

Asimismo, llama la atención el tono de urgencia que acompaña la mayoría de estos mensajes. La insistencia en resolver de inmediato un problema inexistente busca que la víctima actúe impulsivamente, sin detenerse a verificar la autenticidad de la información.

Además de la modalidad que involucra falsas notificaciones de cobros, existen variantes de phishing que se valen de correos simulando comunicaciones de bancos o entidades financieras. Estos mensajes suelen advertir sobre problemas de seguridad en la cuenta del usuario y solicitan que se ingresen datos personales o credenciales en enlaces que conducen a sitios web falsificados, diseñados para capturar la información privada.

Otra táctica frecuente es el envío de correos que anuncian premios inexistentes o sorteos con incentivos atractivos. Al hacer clic en los enlaces, la víctima puede ser dirigida a formularios que piden datos sensibles o a descargas de archivos que instalan software malicioso, como troyanos o programas espía, comprometiendo la seguridad del dispositivo y de la información del usuario.