Kaspersky alerta: phishing personalizado suplanta a Recursos Humanos para robar credenciales

La campaña utiliza correos con archivos adjuntos maliciosos y técnicas de evasión que dificultan
su detección por sistemas tradicionales.
29 de julio de 2025
Kaspersky identificó una avanzada campaña de phishing dirigida a empleados usando correos
electrónicos personalizados y archivos adjuntos disfrazados como actualizaciones de políticas de
Recursos Humanos. Se trata de una escalada significativa en las tácticas de phishing, con
atacantes que personalizan no solo el cuerpo del correo electrónico, sino también los archivos
adjuntos, dirigiéndose a cada destinatario individualmente, lo que representa un riesgo real para
las empresas. Lo anterior debido a que el 25% de los colombianos admiten que no son capaces de
reconocer un e-mail falso, según un reciente estudio de la empresa, y justamente, el objetivo de
esta campaña es engañar a la víctima para que ingrese sus credenciales de correo corporativo.
Es probable que los atacantes se hayan preparado, analizando nombres de empleados para que la
campaña fuera más dirigida y convincente. Los correos presentan un cuerpo engañoso: una
insignia fraudulenta de "remitente verificado" para generar confianza, el nombre del destinatario, y
una invitación a abrir el archivo adjunto para revisar protocolos de trabajo remoto, administración
de beneficios y estándares de seguridad. Sin embargo, todo el cuerpo del mensaje es, en realidad,
una imagen sin texto real; esto se hace para eludir los filtros de correo electrónico.

El cuerpo del correo electrónico fraudulento está compuesto por una imagen, no por texto.
El documento adjunto, que se hace pasar por una versión actualizada del “Manual del Empleado”,
no contiene ninguna directriz real: solo incluye una portada, una tabla de contenido con los
elementos que supuestamente han sido modificados resaltados en rojo, una página con un código

QR (supuestamente para acceder al documento completo) y las instrucciones comunes sobre
cómo leer códigos QR con un teléfono. El documento menciona varias veces el nombre de la
víctima para hacerle creer que fue creado específicamente para ella.

El supuesto archivo adjunto “Manual del Empleado”

Si la víctima escanea el código QR y sigue el enlace, aterriza en una página fraudulenta donde se
le solicita ingresar sus credenciales corporativas, que es justamente lo que buscan los atacantes.
“Esta campaña nos da visibilidad de cómo los cibercriminales llevan el phishing a una nueva etapa,
donde cada mensaje parece hecho a medida para el destinatario. Este nivel de personalización,
sumado a técnicas diseñadas para evadir filtros de seguridad, representa un desafío serio para las
empresas”, señala Daniela Álvarez de Lugo, gerente general para la región norte de América
Latina en Kaspersky. “Es fundamental que las organizaciones combinen tecnología avanzada con
capacitación constante para mitigar este tipo de riesgos”.
Para que las empresas eviten que sus empleados le abran la puerta de su red corporativa a los
cibercriminales, los expertos de Kaspersky recomiendan:
 Promueve entre tus empleados la verificación consciente: enseña a identificar señales
comunes de phishing (como texto en imagen, títulos inconsistentes o QR sospechosos) y
pídeles que si consideran que una solicitud no es clara o les resulta sospechosa,
pregunten directamente con el equipo de Recursos Humanos.
 Protege el correo corporativo: implementa soluciones de seguridad en el servidor de
correo que detecten y bloqueen intentos de phishing mediante análisis en tiempo real y
reputación de remitentes.
 Asegúrate de contar con protección integral en todos los dispositivos: garantiza que
cada uno de los equipos conectados a la red cuente con software de protección robusto,
actualizado y con capacidades antiphishing y antimalware.
 Fortalece la conciencia en ciberseguridad: el factor humano sigue siendo una de los
principales eslabones al hablar de seguridad digital empresarial, por eso impulsa una
cultura de prevención con entrenamientos automatizados. Herramientas como Kaspersky

Automated Security Awareness Platform ofrecen formación continua y simulaciones de
vulnerabilidades para desarrollar habilidades de ciberseguridad a los empleados.
Para más información sobre cómo proteger la seguridad empresarial, visita nuestro blog.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más
de mil millones de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y
ataques dirigidos, la profunda inteligencia sobre amenazas y experiencia en seguridad de
Kaspersky se transforma constantemente en soluciones y servicios innovadores para proteger a
individuos, empresas, infraestructuras críticas y gobiernos en todo el mundo. El completo portafolio
de seguridad de la empresa incluye protección líder para la vida digital de dispositivos personales,
productos y servicios de seguridad especializados para empresas, así como soluciones Cyber
Immune para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de
personas y a cerca de 200,000 clientes corporativos a proteger lo que más valoran. Más
información en: www.kaspersky.com

Kaspersky en redes sociales:
X: @KasperskyLatino           IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam    IN: Kaspersky Lab Latinoamérica