Recientemente, el equipo de investigación de ESET identificó al menos tres sitios falsos que se hacen pasar por DocuSign para distribuir malware. Es probable que los sitios sean accedidos a través de mensajes enviados por correo electrónico que contienen un enlace para la descarga de un documento. Al hacer clic, la víctima abre estas páginas falsas que se hacen pasar por el sitio de DocuSign, las cuales inician automáticamente la descarga de un archivo malicioso en el dispositivo de la víctima.

No sorprende que los cibercriminales hayan comenzado a explotar la popularidad de DocuSign, una de las plataformas de firma electrónica más utilizadas en el mundo, con más de 1,8 millones de organizaciones que usan esta herramienta. Según datos de la telemetría de ESET, DocuSign ha sido la marca más utilizada en campañas de phishing detectadas en Brasil en 2026 como señuelo para atraer a posibles víctimas.

Si bien los casos analizados fueron detectados en Brasil, el riesgo no se limita a ese país. DocuSign es una plataforma utilizada de forma masiva por organizaciones y usuarios en toda Latinoamérica, por lo que este tipo de campañas puede adaptarse fácilmente a otros países de la región con mínimos cambios en el idioma o en el contexto del mensaje.

A continuación, explicamos cómo funciona esta amenaza y qué medidas pueden adoptarse para protegerse.

Cómo ocurre la estafa

No fue posible confirmar el vector de distribución inicial para todos los sitios analizados. Sin embargo, un caso similar reportado por un usuario en LinkedIn muestra un correo electrónico en portugués que redirige a una página falsa con la misma estética de los sitios analizados y descarga un archivo malicioso. Por lo tanto, inferimos que estos correos se distribuyen mediante phishing, imitando la comunicación de empresas tercerizadas.

Este tipo de campañas de phishing suele ser fácilmente reutilizable por los atacantes, quienes pueden emplear la misma infraestructura, plantillas y sitios falsos, modificando únicamente el idioma, el dominio o el pretexto utilizado en el correo para dirigir la amenaza a usuarios de otros países de Latinoamérica.

La imagen a continuación muestra un ejemplo de un correo reportado por un usuario de LinkedIn, que distribuía un sitio falso de DocuSign con la misma apariencia y funcionalidad. Dado que DocuSign es un servicio utilizado por miles de empresas en todo el mundo para la firma de contratos, este tipo de campaña suele tener como objetivo a empresas y a sus empleados.

Scam_DocuSign_Imagem1
Figura 1. Ejemplo de correo electrónico con el mensaje inicial de la estafa y página de redirección reportada por un usuario en LinkedIn. Fuente:LinkedIn.

Tras hacer clic en el enlace contenido en correos como el que ejemplificamos en la Figura 1, el usuario es dirigido a una página falsa. Aunque no tenga ninguna relación con la constructora (en el ejemplo anterior) o la empresa mencionada en el mensaje, la curiosidad puede ser un factor determinante para que la persona acceda al contenido y termine convirtiéndose en víctima de la estafa.

Luego de hacer clic en el enlace, mediante un análisis más atento es posible notar que la dirección utilizada por los criminales imita el dominio oficial de la plataforma DocuSign con el objetivo de transmitir credibilidad y engañar al usuario, como se observa en la Figura 2.

Análisis de sitios falsos de DocuSign que descargan malware

Analizamos tres sitios diferentes que comparten las mismas funcionalidades y que han sido utilizados recientemente en campañas dirigidas a usuarios de habla portuguesa.

Scam_DocuSign_Imagem2

Figura 2. Página falsa analizada por ESET que utiliza la misma estética del sitio de la Figura 1. La URL del sitio falso “docusignreviw” simula el sitio oficial de DocuSign.

Scam_DocuSign_Imagem3

Figura 3. El segundo sitio analizado también está en portugués y utiliza el mismo diseño de los anteriores. En este caso, la URL falsa también incluye el nombre DocuSign (“docusign1”).

A continuación, compartimos un tercer ejemplo de un sitio que hace referencia al mismo tipo de URL utilizadas en los sitios fraudulentos que emplean el nombre del servicio DocuSign:

https://docusigns.blob.core[.]windows.net/docusigns/Docusign_ta45Aasd5XpZbs[.]html

En los tres casos, al abrir las páginas falsas se descarga un archivo con extensión .vbs, iniciado automáticamente por el propio sitio malicioso, sin necesidad de hacer clic en ningún botón ni realizar ninguna otra acción. Los nombres de los archivos .vbs también están en portugués.

Scam_DocuSign_Imagem4

Figura 4. Ejemplos de archivos VBS descargados automáticamente al abrir sitios falsos.

El análisis revela que los archivos .vbs funcionan como downloader. La ejecución del archivo desencadena una serie de etapas, incluyendo la descarga del payload final desde un dominio externo. Sin embargo, al momento del análisis, el dominio desde el cual se descargaba la carga útil se encontraba fuera de línea.

Scam_DocuSign_Imagem5

Figura 5. Análisis a través de VirusTotal que indica que el archivo se trata de un downloader.

¿Qué puede hacer la amenaza descargada?

Aunque, al momento del análisis de esta campaña, los dominios responsables del alojamiento de la carga maliciosa final estaban fuera de servicio, lo que imposibilitó el acceso al payload, fue posible observar que el archivo con extensión .vbs desencadenaba una serie de acciones maliciosas. Entre ellas se encontraban la ejecución de comandos en PowerShell, la creación de mecanismos de persistencia en el sistema comprometido y la descarga de archivos adicionales desde servidores con los que establecía comunicación.

En campañas de este tipo, la segunda fase de la infección suele involucrar malware capaz de robar credenciales de acceso y monitorear las actividades realizadas en el dispositivo, como infostealers y troyanos de acceso remoto (RAT).

Por este motivo, incluso si el archivo descargado inicialmente parece inofensivo, su ejecución puede representar el primer paso hacia una infección más grave, capaz de comprometer la seguridad del dispositivo y la privacidad de los datos de la víctima.

¿Qué hacer si se descarga la amenaza?

Si la víctima descargó esta amenaza por error, lo más importante es aislar el dispositivo de inmediato, desconectándolo de Internet y de redes locales para impedir la descarga de otros malware.

Se recomienda no ejecutar el archivo, pero si se hizo por error, eliminarlo y ejecutar un análisis completo con una solución confiable. La herramienta gratuita ESET Online Scanner permite una verificación rápida y una remoción eficaz contra malware.

Por último, monitorea las cuentas del usuario desde un dispositivo no infectado en busca de actividades inusuales. Trata las credenciales como expuestas y cambia contraseñas críticas. Si hay cuentas corporativas involucradas, informa al equipo de seguridad para suspender accesos desde la máquina infectada.

Cómo protegerse de este tipo de estafa

Para evitar caer en este tipo de estafa, te sugerimos algunos consejos básicos:

  • Comprueba el remitente para ver si la dirección parece realmente fiable;
  • Pasa el cursor por encima de los enlaces antes de hacer clic para comprobar que te llevan a la página web oficial;
  • Desconfía de los mensajes urgentes; los estafadores utilizan la presión para que hagas clic sin pensarlo.
  • Utiliza una solución de seguridad en tus dispositivos, como las que ofrece ESET, que detecta y bloquea este tipo de amenazas.

Las estafas de suplantación de marca de DocuSign pueden variar en calidad y en los disparadores utilizados para engañar a las víctimas, pero la gran mayoría comienza con un correo electrónico de phishing. Si desconfías de un correo recibido que aparenta ser de DocuSign, sigue los pasos recomendados por el propio servicio para verificar su legitimidad.

Crecimiento de estafas que utilizan marcas conocidas

Las estafas basadas en la suplantación de marcas continúan siendo una de las estrategias más utilizadas por los criminales para aumentar la efectividad de las campañas de phishing. Plataformas ampliamente utilizadas en el entorno corporativo, como servicios de firma electrónica y productividad, se han convertido en objetivos frecuentes debido al alto nivel de confianza de los usuarios.

Aunque esta campaña fue identificada inicialmente en Brasil, sus características reflejan una tendencia regional. Las estafas que suplantan marcas ampliamente reconocidas no suelen limitarse a un solo país, ya que los atacantes reutilizan las mismas técnicas y recursos para dirigirse a usuarios de distintos mercados. Por este motivo, la concientización y la adopción de medidas de prevención resultan clave para organizaciones y usuarios en toda Latinoamérica.

Según un relevamiento deCERT.br,, más de 2.500 sitios falsos asociados a campañas de phishing y fraudes digitales ya fueron identificados en Brasil solo en lo que va del año. La ingeniería social sigue siendo una de las herramientas más eficaces del cibercrimen porque explota el comportamiento humano y la confianza digital. Por ello, la concientización y la educación continúan siendo fundamentales para reducir riesgos.