Mercado Laboral

De la nómina al robo de información bancaria, el fraude que aprovecha el final de mes.

Los ciberdelincuentes aprovechan los días en los que las empresas suelen emitir las nóminas para distribuir correos fraudulentos que buscan robar credenciales, datos bancarios e información confidencial.

A medida que se acerca el final de mes, muchas personas están pendientes de la recepción de su nómina, de posibles ajustes salariales, anticipos, bonus o comunicaciones del departamento de recursos humanos. Ese contexto de expectativa, urgencia y sensibilidad hacia cualquier mensaje relacionado con el salario se ha convertido en un gancho muy eficaz para los ciberdelincuentes, que recurren a correos electrónicos aparentemente corporativos sobre recibos de sueldo, revisiones de nómina o documentos internos para conseguir que la víctima haga clic en un enlace, descargue un supuesto archivo o introduzca sus credenciales en una página falsa.

“El final y el principio de mes son momentos especialmente sensibles, porque muchas personas esperan recibir comunicaciones legítimas relacionadas con su salario”, señala Josep Albors, director de investigación y concienciación de ESET España. “Los ciberdelincuentes lo saben y utilizan la nómina como un reclamo muy eficaz para que el usuario actúe rápido y baje la guardia. Este fraude es especialmente representativo de cómo operan las campañas de phishing, ya que aprovecha una rutina real dentro de las empresas, imita una comunicación interna aparentemente normal y juega con una cuestión tan sensible como el cobro del salario”.

Una  campaña reciente analizada por ESET muestra cómo funciona este tipo de fraude. En ella, los usuarios recibían un correo que hacía referencia a un supuesto recibo de sueldo disponible para la descarga. El mensaje no mencionaba una empresa concreta y se limitaba a presentarse como una comunicación del departamento de recursos humanos, una señal habitual en este tipo de campañas, ya que permite a los atacantes reutilizar el mismo correo contra empleados de distintas organizaciones.

Al hacer clic en el enlace, la víctima era redirigida a una página preparada por los atacantes que simulaba estar relacionada con Acrobat Reader y mostraba la disponibilidad de un supuesto documento. Sin embargo, en lugar de descargar una nómina legítima, el usuario recibía un archivo comprimido que contenía un acceso directo malicioso de Windows. Su ejecución iniciaba una cadena de infección diseñada para descargar y ejecutar código adicional en el equipo, utilizando herramientas legítimas del sistema como cmd.exe o mshta.exe para dificultar la detección.

Según el análisis de ESET, la infraestructura y las técnicas utilizadas apuntaban a una campaña orientada al robo de información financiera, como credenciales de banca online o datos de tarjetas, aunque este tipo de amenazas también puede comprometer otra información sensible del usuario o de la empresa. Por sus características, la campaña presenta similitudes con operaciones vinculadas a troyanos bancarios como Casbaneiro, Grandoreiro u otras familias similares.

No obstante, ESET recuerda que las estafas vinculadas a nóminas no se limitan a la distribución de malware. También pueden adoptar la forma de páginas falsas de acceso a portales del empleado, solicitudes de actualización de datos bancarios, supuestos cambios en el método de pago o mensajes que piden confirmar información personal para evitar retrasos en el cobro.

Entre las señales que deben poner en alerta a los empleados, ESET destaca las siguientes:

  • Remitentes genéricos o poco claros. Los mensajes que afirman proceder de recursos humanos, administración o finanzas, pero no identifican correctamente a la empresa, deben revisarse con especial cautela.
  • Enlaces externos para descargar la nómina. Muchas organizaciones cuentan con portales internos o herramientas específicas para consultar documentos laborales. Si el enlace dirige a una web desconocida, acortada o con un dominio sospechoso, conviene no acceder.
  • Urgencia o presión para actuar. Frases que sugieren que la nómina está pendiente de validación, que existe un error en el pago o que es necesario descargar un documento de inmediato buscan reducir la capacidad de análisis de la víctima.
  • Archivos comprimidos o accesos directos. Una nómina debería recibirse, en su caso, como un documento legítimo y esperado. La presencia de archivos .zip, .rar, .lnk, .js o ejecutables debe considerarse una señal de riesgo.
  • Errores de redacción o mensajes demasiado impersonales. Aunque los delincuentes han mejorado la calidad de sus comunicaciones, los textos genéricos, sin contexto corporativo o con pequeñas incoherencias siguen siendo habituales.

Para reducir el riesgo, ESET recomienda no hacer clic en enlaces incluidos en correos inesperados sobre nóminas, acceder siempre al portal del empleado escribiendo la dirección manualmente o desde marcadores guardados, verificar cualquier comunicación dudosa con el departamento de recursos humanos por un canal independiente y no abrir archivos adjuntos si no se esperaba recibirlos.

En el ámbito corporativo, la compañía aconseja reforzar la formación de los empleados, activar la autenticación multifactor, contar con soluciones de seguridad capaces de bloquear enlaces y archivos maliciosos, y establecer procedimientos claros para reportar correos sospechosos. También recomienda que los departamentos de recursos humanos informen previamente a la plantilla sobre los canales oficiales utilizados para compartir nóminas o documentación laboral.

Publicaciones relacionadas

Deja una respuesta

Botón volver arriba