Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Microsoft advierte sobre los ‘piratas de nómina

Microsoft advierte sobre los ‘piratas de nómina

por Dragora

Una nueva campaña de ciberataques ha llamado la atención de los investigadores de Microsoft: el grupo de amenazas Storm-2657 está llevando a cabo una serie de ataques dirigidos a empleados de organizaciones en Estados Unidos, principalmente en el sector educativo, con el objetivo final de desviar pagos de nómina a cuentas bancarias controladas por los atacantes.

El informe del Equipo de Inteligencia de Amenazas de Microsoft (MSTIC) detalla cómo este grupo utiliza tácticas de ingeniería social altamente efectivas para infiltrarse en sistemas de software como servicio (SaaS) de recursos humanos, como Workday, comprometer las credenciales de empleados y alterar la información de pago registrada en sus perfiles.


Ataques dirigidos a plataformas SaaS de RRHH

El grupo Storm-2657 se centra en plataformas SaaS de gestión de personal y nómina, especialmente aquellas que almacenan información confidencial como cuentas bancarias, detalles de pago y datos personales de empleados.
Aunque Microsoft ha identificado principalmente ataques contra usuarios de Workday, el gigante tecnológico advierte que cualquier sistema de RRHH basado en la nube puede ser un objetivo potencial, incluyendo plataformas como SAP SuccessFactors, ADP o BambooHR.

Esta campaña, que Microsoft ha bautizado como “Payroll Pirates”, ya había sido parcialmente observada por empresas como Silent Push, Malwarebytes y Hunt.io, pero el nuevo análisis revela una escala y sofisticación mayor de la que se creía inicialmente.


Sin vulnerabilidades técnicas: solo ingeniería social y errores humanos

Lo que hace que los ataques de Storm-2657 sean particularmente preocupantes es que no aprovechan vulnerabilidades en el software de las plataformas SaaS, sino fallos en los procesos humanos y de autenticación.

Los ciberdelincuentes recurren a campañas de phishing avanzadas que combinan enlaces de phishing adversary-in-the-middle (AitM) con tácticas de engaño para capturar credenciales y códigos de autenticación multifactor (MFA).
De esta forma, logran acceder a las cuentas corporativas de Microsoft 365 y Workday de las víctimas mediante el inicio de sesión único (SSO), obteniendo control total de sus perfiles.

En algunos casos, los atacantes crean reglas automáticas en la bandeja de entrada de Outlook para eliminar notificaciones de advertencia o correos sobre cambios sospechosos, dificultando que el usuario detecte el acceso no autorizado.
Luego, modifican los datos bancarios asociados a las cuentas de nómina, redirigiendo los próximos pagos a cuentas que ellos controlan.

Piratas de nómina


Campañas dirigidas contra universidades en EE. UU.

Microsoft informó que la campaña ha tenido un impacto considerable en el sector educativo, especialmente en universidades estadounidenses.
Durante la primera mitad de 2025, se identificaron al menos 11 cuentas comprometidas en tres universidades, utilizadas para enviar más de 6,000 correos electrónicos de phishing a empleados y estudiantes en 25 instituciones académicas.

Los correos falsos incluyen señuelos temáticos relacionados con enfermedades, sanciones disciplinarias o avisos urgentes del campus, con el propósito de inducir una reacción emocional rápida y motivar a las víctimas a hacer clic en los enlaces fraudulentos.
Este tipo de mensajes explotan la confianza y el sentido de urgencia de los usuarios, uno de los principales pilares de la ingeniería social moderna.


Acceso persistente y expansión interna del ataque

Una vez comprometida una cuenta, los atacantes se aseguran de mantener acceso persistente al sistema.
Para ello, inscriben sus propios números telefónicos o dispositivos móviles como factores de autenticación MFA, permitiendo que, incluso si el usuario intenta recuperar el control, el atacante continúe teniendo acceso.

Además, las cuentas comprometidas son utilizadas como trampolín para enviar más correos de phishing dentro de la misma organización o incluso a otras universidades, multiplicando la efectividad del ataque y ampliando la red de víctimas.

Este enfoque de expansión lateral demuestra un alto grado de planificación y automatización, similar a campañas atribuidas a grupos de ciberdelincuentes con motivación financiera y conocimientos técnicos avanzados.


Recomendaciones de Microsoft para mitigar los ataques de Storm-2657

Microsoft enfatiza la importancia de reforzar las defensas corporativas contra este tipo de amenazas, particularmente en entornos donde el personal gestiona información financiera sensible.
Las principales recomendaciones incluyen:

  1. Implementar métodos de autenticación sin contraseña o MFA resistentes al phishing, como claves de seguridad FIDO2 o autenticadores biométricos.

  2. Auditar regularmente las cuentas corporativas en busca de reglas de bandeja de entrada sospechosas, dispositivos MFA desconocidos o inicios de sesión inusuales.

  3. Capacitar a los empleados sobre reconocimiento de correos de phishing, enlaces sospechosos y procedimientos de verificación antes de modificar información de pago.

  4. Activar alertas automatizadas ante cualquier cambio en los datos bancarios o de nómina.

  5. Segmentar accesos y permisos para limitar el impacto de una posible cuenta comprometida.

Estas medidas, combinadas con políticas de respuesta temprana y monitoreo proactivo, pueden reducir drásticamente el riesgo de pérdida financiera y el impacto reputacional derivado de este tipo de ataques.


En fin…

La campaña Payroll Pirates atribuida a Storm-2657 evidencia cómo los ciberataques basados en ingeniería social siguen siendo una de las amenazas más efectivas y rentables para los delincuentes digitales.
Al comprometer cuentas legítimas y manipular plataformas SaaS de recursos humanos, los atacantes pueden redireccionar pagos salariales sin necesidad de vulnerar directamente la infraestructura tecnológica.

El caso de Storm-2657 refuerza la urgencia de adoptar estrategias de autenticación robustas, monitoreo continuo y educación en ciberseguridad como pilares fundamentales de la protección corporativa moderna.
En un panorama donde los ataques son cada vez más sofisticados y sigilosos, la conciencia humana sigue siendo la primera —y a menudo la última— línea de defensa.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!