El equipo de inteligencia de amenazas de Microsoft, junto con una investigación de Check Point Software Technologies, reveló la existencia de una red coordinada de “Payroll Pirates” o “Piratas de nómina” que operan bajo el nombre de Storm-2657. Esta organización se enfocó en comprometer credenciales de personal administrativo y de recursos humanos para desviar recursos financieros de organizaciones educativas y empresas.
El ataque se ejecutaba mediante páginas de autenticación clonadas, anuncios patrocinados en Google Ads y tácticas que inducían al error a empleados con acceso a plataformas de nómina. Dicho análisis detalló que los atacantes dirigían sus esfuerzos a personal con acceso a sistemas críticos, particularmente la plataforma SaaS de Workday. Una vez obtenidas las credenciales, accedían al sistema mediante inicio de sesión único, modificaban las cuentas bancarias registradas y anulaban notificaciones automáticas para ocultar el movimiento fraudulento.
ÚNETE A IDC en nuestro canal de Whatsapp
Técnicas que emplean los piratas de nómina para sustraer credenciales de empresas
Microsoft identificó que los operadores utilizaban correos electrónicos de phishing diseñados con técnica adversario en el medio para interceptar tanto las credenciales como los códigos de autenticación multifactor. Cuando el usuario ingresaba su información en la página clonada, los datos se reenviaban a los servidores controlados por los atacantes, quienes los utilizaban en tiempo real para acceder a la cuenta verdadera.
Check Point documentó que la red también desplegaba campañas de malvertising en Google Ads, donde los empleados eran dirigidos a formularios falsos a través de anuncios pagados que simulaban ser portales legítimos. La infraestructura técnica se distribuía entre dominios alojados en varios países como Ucrania, Kazajistán y Vietnam, con registros en grandes volúmenes que facilitaban la rotación constante de sitios fraudulentos y la vinculación de distintos clústeres operativos dentro de la misma red criminal.
Los atacantes mantenían acceso persistente mediante reglas en los buzones de correo comprometidos, eliminando las alertas automáticas y sustitución continua de información bancaria. Esto permitía que los depósitos de nómina fueran redirigidos hacia cuentas controladas por la red de delincuentes.
¿Cómo los piraras de nómina logran desviar pagos de nómina sin ser detectados?
Las intrusiones generaron consecuencias críticas para instituciones educativas y diversas empresas. Los cambios realizados en Workday provocaron que los depósitos de nómina no llegaran a sus destinatarios legítimos y que los desvíos fueran detectados únicamente cuando los trabajadores reportaron la falta de pago. Este retraso permitió que los recursos ya fueran transferidos a terceros.
Microsoft observó accesos desde dispositivos no reconocidos y sesiones simultáneas, lo que obligó a equipos de seguridad a restablecer credenciales y bloquear cuentas. Check Point indicó que la operación integró kits de phishing capaces de evadir múltiples capas de autenticación, ampliando su alcance hacia sectores financieros y servicios con procesos sensibles de validación de pagos.
6 Medidas para proteger las cuentas de nómina empresarial
- Verificar los portales de acceso a través de dominios oficiales y certificados reconocidos antes de introducir credenciales.
- Implementar autenticación resistente a phishing y evitar depender exclusivamente de códigos SMS.
- Supervisar accesos provenientes de direcciones IP inusuales, dispositivos desconocidos o intentos de inicio de sesión repetidos.
- Monitorear cambios en cuentas bancarias registradas en plataformas de nómina y aplicar controles adicionales para modificaciones sensibles.
- Capacitar al personal de recursos humanos y administrativo para identificar páginas clonadas, anuncios maliciosos y correos fraudulentos.
- Vigilar campañas publicitarias que suplanten a la empresa a través de Google Ads, así como la creación de dominios similares utilizados como señuelo.
La investigación conjunta evidenció que los ataques contra sistemas de nómina continúan adaptándose al ritmo de las plataformas digitales y los procesos de autenticación modernos. Por ello, la protección de credenciales, la verificación constante de portales y la supervisión de movimientos sensibles dentro de los sistemas de recursos humanos se consolidan como tareas esenciales para evitar que redes de piratería de nómina.
¿Quieres saber más? ¡Sigue a IDC en Google News
