Una sola línea en Outlook y tu nómina en manos de hackers: nuevo ataque convierte el correo laboral en un cajero automático
Ciberdelincuentes hallan la manera de reescribir por completo las normas de pago.
Según el nuevo informe de Microsoft Threat Intelligence, el grupo con motivación financiera Storm-2657 lleva a cabo ataques a gran escala contra universidades y empresas, utilizando cuentas de empleados comprometidas para redirigir las nóminas a sus propias cuentas bancarias. Los especialistas denominan este tipo de ataques «pirata de nómina». Durante la campaña, los atacantes trataron de obtener acceso a plataformas de recursos humanos en la nube, como Workday, para cambiar los datos de pago de las víctimas.
La investigación de Microsoft mostró que la campaña está activa desde la primera mitad de 2025. En ella, los atacantes emplearon correos de phishing cuidadosamente diseñados destinados a robar los códigos de autenticación multifactor mediante esquemas de adversario en el medio (AitM). Tras obtener las credenciales, accedieron a los buzones de correo de empleados y a los servicios de recursos humanos corporativos, donde modificaron los parámetros de pago. Para ocultar rastros, Storm-2657 creó reglas en Outlook que eliminaban automáticamente las notificaciones de Workday sobre cualquier cambio de perfil.
Microsoft registró al menos 11 compromisos exitosos de cuentas en tres universidades. Desde esas direcciones se enviaron posteriormente miles de correos de phishing a otros campus — en total alrededor de 6.000 víctimas potenciales en 25 instituciones. Parte de los mensajes se presentaban como notificaciones sobre enfermedad o investigaciones de incidentes en el campus. Aparecían asuntos como «Caso similar a COVID reportado — comprueba tu estado de contacto» o «Informe sobre conducta indebida del profesorado». Otros correos imitaban envíos de departamentos de recursos humanos y contenían enlaces a supuestos documentos oficiales sobre pagos y compensaciones. Para ocultarse, con frecuencia se usaban Google Docs, una herramienta habitual en el entorno académico, lo que dificultó la detección de los ataques.
Tras obtener acceso, los atacantes introdujeron cambios en los perfiles de las víctimas: con mayor frecuencia sustituyeron las cuentas bancarias para el abono de las nóminas. En algunos casos también añadieron sus propios números de teléfono como dispositivos de autenticación multifactor (MFA), lo que les permitía mantener el control del perfil sin el conocimiento del titular. Estas operaciones quedaron registradas en los registros de Workday como eventos «Change My Account» o «Manage Payment Elections», pero las notificaciones no llegaban a los usuarios debido a los filtros creados en el correo.
Microsoft señala que los ataques no están relacionados con vulnerabilidades en los propios productos Workday. El problema es la ausencia o la débil protección de la autenticación multifactor (MFA). Por ello la empresa insta a las organizaciones a adoptar métodos de autenticación resistentes al phishing: claves FIDO2, Windows Hello for Business y Microsoft Authenticator. A los administradores se les recomienda habilitar obligatoriamente estos métodos en Entra ID e implantar la autenticación sin contraseña.
En la publicación de Microsoft se incluyen consultas para herramientas de protección que permiten detectar indicios de intrusión — desde reglas sospechosas en el correo hasta cambios en los datos de pago y nuevos dispositivos de autenticación multifactor (MFA). La compañía también informa que ya se ha puesto en contacto con algunas organizaciones afectadas, proporcionándoles información sobre las TTP utilizadas y recomendaciones para restaurar la seguridad.
¿Estás cansado de que Internet sepa todo sobre ti?