Labs 101
Labs 101

El phishing disfrazado de DocuSign: una estafa mal hecha, pero igual peligrosa

El phishing disfrazado de DocuSign: una estafa mal hecha, pero igual peligrosa

¿Alguna vez te llegó un correo de esos que dicen que tenés un documento urgente para firmar? Tipo “haga clic aquí para ver el mensaje”. Bueno, eso le pasó a Steve Ragan, un capo en temas de ciberseguridad, y resulta que era un intento de phishing bastante trucho… pero aun así, muy interesante de analizar.

Vamos a desarmar este caso como si fuera una película de hackers, porque aunque el mail era medio obvio, los estafadores usaron algunas técnicas bastante curiosas.

📬 El correo: muchas banderas rojas desde el arranque

Para empezar, el correo venía supuestamente de DocuSign, pero lo mandaba SharePoint con la dirección contact@oc.com. Raro, ¿no? Es como si te invitara a cenar tu amigo y el mensaje te lo manda su vecino.

Además, te dice que es un mensaje “seguro y encriptado”, con un botón para “ver el documento”. Hasta ahí, alguien desprevenido podría caer. Pero si hacés clic… empieza la trampa.

🕳️ El agujero del conejo: del correo al robo de credenciales

Cuando hacés clic, te lleva a una página que tiene toda la pinta de ser seria. Te muestran un icono de PDF, como si fuera un documento importante, y te piden que pongas tu email. Hasta ahí, nada sospechoso si no prestás mucha atención.

Pero en cuanto escribís tu correo y le das a “siguiente”, te piden la contraseña. Ahí está el truco: lo que están haciendo es pescar tus credenciales. O sea, quieren que les des tu usuario y tu contraseña pensando que estás accediendo a DocuSign, pero en realidad estás cayendo redondito en una página falsa.

🔍 El análisis de Steve Ragan

Steve no solo se dio cuenta de que era una estafa, sino que se puso a investigar a fondo (como buen investigador de seguridad). Todo esto lo contó en su blog TechnicalOutcast.com, que te recomiendo si te gusta el mundo de la ciberseguridad.

Primero notó todas esas señales raras del correo, pero después descubrió algo más jugoso: el sitio donde se aloja esta falsa página de DocuSign… estaba en Firebase. Sí, el servicio de Google.

🧱 Firebase: el “hermano rebelde” de Google Cloud

Si no sabés qué es Firebase, te cuento: es una plataforma de Google pensada para desarrolladores. Podés subir archivos, alojar apps, usar bases de datos, lo que quieras. Es muy potente, muy práctico… y, sí, también puede ser usado para el mal.

¿Lo loco? Cualquiera con una cuenta de Google puede crear un proyecto Firebase en minutos. Incluso se puede subir una página web falsa en HTML y ponerla online con un enlace que empieza con https://firebasestorage.googleapis.com/..., o sea, un dominio que parece legítimo porque viene de Google.

Los estafadores aprovecharon eso para montar ahí su página trucha de DocuSign. Y claro, si alguien ve un enlace con “googleapis.com”, baja la guardia.

🛠️ Cómo montaron la página trucha

Steve hizo una prueba para mostrar lo fácil que es. Creó un HTML básico con un mensajito random y lo subió a Firebase. En segundos, ya tenía un sitio online, con HTTPS y todo, funcionando desde un subdominio de Google. Increíble, ¿no?

Bueno, los atacantes hicieron lo mismo, pero con un formulario falso de inicio de sesión. Y para no dejar rastros, usaron un truco más…

🧬 JavaScript malicioso escondido

Al mirar el código HTML, Steve notó que había scripts externos incluidos. Y acá viene lo bueno: esos scripts no estaban en Firebase, sino en un sitio con wp-includes en la ruta, lo que indica que probablemente era un sitio de WordPress vulnerado.

Uno de esos archivos maliciosos se llamaba basic.js, y adentro tenía una función llamada saveFile() que usaba jQuery para… capturar tus datos. Pero no lo hacía de forma obvia: creaba un “blob” en el navegador, que es básicamente un archivo binario en memoria, y ahí escondía los datos robados.

Todo esto hacía que el contenido malicioso fuera más difícil de detectar por los antivirus o sistemas de análisis automático.

📤 ¿A dónde iban tus credenciales?

Cuando metías tu correo y contraseña, el JavaScript las agarraba y las mandaba a:

ruby

CopiarEditar

https://gogo.com/promised/wordpress/send.php

Sí, lo sé, suena a sitio de broma. Pero lo más loco es que ese dominio estaba activo. De hecho, Steve se metió y encontró un sitio supuestamente llamado “Pete’s Rod Shop”. A simple vista, parecía un negocio normal, pero el archivo send.php seguía recibiendo datos.

Traducción: si alguien caía en la estafa, su info se iba directo a ese servidor comprometido.

Y encima, en el código, los atacantes dejaron una firmita:

“Coded by Plus for education purpose only”
Ajá. Claro. Seguro.

🤔 ¿Por qué funciona este tipo de estafa?

Aunque este correo en particular era bastante obvio, lo que lo hace peligroso es cómo los atacantes mezclan varias técnicas para evitar ser detectados:

  • Alojan el sitio en Firebase: lo cual le da un aire de legitimidad porque usa infraestructura de Google.

  • Usan blobs en JavaScript: esto dificulta que los sistemas de seguridad identifiquen contenido malicioso.

  • Aprovechan sitios WordPress hackeados: para alojar los scripts maliciosos sin llamar la atención.

  • Exfiltran datos con XHR (XMLHttpRequest): lo que significa que ni te das cuenta de que tus datos volaron.

🛡️ ¿Cómo podés protegerte?

Steve da un consejo buenísimo: usá un gestor de contraseñas. ¿Por qué? Porque si caés en una página falsa, tu gestor no va a autocompletar nada, ya que el dominio no coincide con el original. Es como una alarma silenciosa.

Además, acá van algunas prácticas clave:

Revisá siempre el dominio antes de meter tus datos
No confíes en correos sospechosos, aunque parezcan legítimos
Usá herramientas como URLScan.io para analizar links antes de hacer clic
Mantené actualizado tu navegador y tus extensiones de seguridad

💬 Reflexión final

Este tipo de ataques nos recuerdan que los estafadores no descansan. Usan todo lo que tienen a mano, incluso servicios legítimos como Firebase, para intentar colarse por donde puedan. Y aunque a veces la estafa parezca burda, si alguien está apurado o distraído… puede caer.

Así que, ojo con los correos raros. Leé bien, fijate en los detalles, y ante la duda, no hagas clic. Mejor prevenir que tener que andar cambiando todas tus contraseñas después.

Gracias a Steve Ragan por compartir esta historia en su blog, y por mostrar que, aunque parezca una tontería, estas cosas siguen pasando todos los días.

¿Te pareció útil este análisis? ¿Querés que hagamos una guía paso a paso para detectar este tipo de estafas en tiempo real? Mandame un mensaje y lo armamos.

Nos leemos en la próxima 👀🔐

Copyright © 2025 Labs 101

Blog de ciberseguridad, hacking ético y tecnología avanzada