Concepto de fraude cibernético dirigido a nóminas en un entorno corporativo.

Ataques pirata a nóminas en Canadá: cómo Storm-2755 roba salarios y cómo defenderse

por

ataques pirata nóminas: El actor de amenazas Storm-2755 está robando los pagos de salarios de empleados canadienses mediante ataques pirata a nóminas, según ha informado Microsoft en un análisis reciente. Esta campaña, de motivación financiera, secuestra las cuentas de los empleados para interceptar y redirigir sus ingresos, aprovechando técnicas avanzadas que sortean la autenticación multifactor (MFA).

Puntos clave

  • El grupo Storm-2755 está activo en ataques pirata a nóminas dirigidos a empleados canadienses.
  • Utiliza páginas de inicio de sesión falsas de Microsoft 365 para robar tokens de autenticación y cookies de sesión en ataques de tipo Adversary-in-the-Middle (AiTM).
  • Esta técnica permite bypassear la autenticación multifactor (MFA) heredada, al reutilizar sesiones autenticadas.
  • Una vez dentro, los atacantes crean reglas de buzón ocultas para interceptar correos sobre nóminas y contactan directamente con RRHH para cambiar los datos bancarios.
  • Microsoft recomienda implementar MFA resistente al phishing y bloquear protocolos de autenticación heredados.

Cómo operan los ataques pirata a nóminas en Canadá

💡 ¿Tu empresa estaría preparada ante un ataque real? En Iberia Intelligence realizamos simulaciones de phishing personalizadas: campañas que replican ataques reales, miden la exposición humana de tu organización y forman a tu equipo para identificar y neutralizar este tipo de engaños antes de que causen un incidente real.

La campaña identificada por Microsoft sigue un modus operandi sofisticado. Los atacantes, tras rastrear a sus objetivos, emplean técnicas de envenenamiento SEO o malvertising para posicionar dominios maliciosos en los primeros resultados de búsqueda. Estos dominios, como bluegraintours[.]com, alojan páginas web que suplantan los formularios de inicio de sesión de Microsoft 365. ataques pirata nóminas es clave para entender el alcance de esta amenaza.

El rol crucial de los ataques Adversario-en-el-Medio (AiTM)

La innovación de estos ataques pirata a nóminas reside en el uso de marcos AiTM. A diferencia del phishing tradicional, que solo captura credenciales, un ataque AiTM actúa como un proxy intermedio en tiempo real durante todo el flujo de autenticación. Esto permite a Storm-2755 capturar las cookies de sesión y los tokens de acceso OAuth que se emiten una vez que la víctima introduce correctamente sus credenciales e, incluso, su código MFA. ataques pirata nóminas es clave para entender el alcance de esta amenaza.

Ejemplo de correo de phishing utilizado en ataques de suplantación de identidad.
Ejemplo de correo de phishing utilizado en ataques de suplantación de identidad. — Foto: Zulfugar Karimov vía Unsplash

«Debido a que estos tokens representan una sesión completamente autenticada, los actores de amenazas pueden reutilizarlos para acceder a los servicios de Microsoft sin que se les soliciten credenciales o MFA, sorteando efectivamente las protecciones MFA heredadas no diseñadas para ser resistentes al phishing», explicó Microsoft.

Este método es particularmente efectivo contra soluciones MFA basadas en SMS o notificaciones push, que no están diseñadas para resistir este tipo de suplantación avanzada.

La técnica de secuestro de sesiones y manipulación del buzón

Una vez que Storm-2755 obtiene acceso a la cuenta de correo de un empleado, su objetivo es permanecer oculto y tomar el control del proceso de nómina. Para ello, ejecuta dos movimientos consecutivos muy concretos.

Cómo Storm-2755 manipula las reglas del buzón para ocultar su actividad

Lo primero que hace el atacante es crear reglas automáticas en el buzón de Outlook. Estas reglas están configuradas para detectar y mover a carpetas ocultas cualquier correo electrónico proveniente del personal de recursos humanos que contenga palabras clave como «direct deposit» (depósito directo) o «bank» (banco). De esta forma, la víctima no ve las comunicaciones relacionadas con su salario, lo que da al atacante una ventana de tiempo para actuar sin ser descubierto.

Diagrama que ilustra el funcionamiento de un ataque Adversario-en-el-Medio (AiTM).
Diagrama que ilustra el funcionamiento de un ataque Adversario-en-el-Medio (AiTM). — Foto: Growtika vía Unsplash

Posteriormente, el actor busca activamente en la bandeja de entrada términos como «payroll», «HR», «direct deposit» y «finance». Con esta información, se pone en contacto con los responsables de RRHH suplantando la identidad del empleado. Envían correos con asuntos del tipo «Pregunta sobre el depósito directo» para, mediante ingeniería social, persuadir al personal de que actualice la información bancaria asociada a la nómina.

La escalada: acceso directo a plataformas de RRHH como Workday

Cuando la ingeniería social no funciona, Storm-2755 no se detiene. Utilizando la misma sesión robada, que ya les otorga acceso a los servicios de Microsoft, intentan iniciar sesión directamente en plataformas de gestión de capital humano como Workday. Si la organización no tiene configurada una autenticación independiente para estas aplicaciones críticas, el atacante puede cambiar manualmente los datos de depósito directo, desviando así el salario a cuentas controladas por ellos.

Esta fase demuestra un conocimiento profundo de los procesos empresariales y una voluntad de interactuar directamente con los sistemas internos, elevando el nivel de riesgo y sofisticación de la campaña.

El vínculo con campañas anteriores y la evolución de la amenaza

Esta no es la primera vez que Microsoft documenta ataques pirata a nóminas. En octubre de 2025, la compañía desarticuló otra campaña, atribuida a un grupo denominado Storm-2657, que desde marzo de ese año había estado atacando a empleados universitarios en Estados Unidos con el mismo objetivo: secuestrar sus pagos de Workday. La táctica era similar, combinando phishing y técnicas AiTM para robar códigos MFA y comprometer cuentas de Exchange Online.

El impacto global y las cifras abrumadoras del fraude BEC

Los ataques pirata a nóminas son una variante específica y dirigida de los fraudes de compromiso de correo empresarial (BEC). Estos esquemas se centran en empresas e individuos que realizan transferencias bancarias regularmente, como los departamentos de RRHH y finanzas. La magnitud del problema es colosal.

Según el Centro de Quejas de Crímenes en Internet (IC3) del FBI, solo en el último año se registraron más de 24.000 denuncias por fraude BEC, con pérdidas que superaron los 3.000 millones de dólares. Esta cifra sitúa al BEC como el segundo tipo de cibercrimen más lucrativo, solo por detrás de las estafas de inversión. La campaña de Storm-2755 en Canadá es un ejemplo más de cómo estos grupos refinaron sus tácticas para atacar un eslabón crítico de la cadena: el salario de los empleados.

Panel de configuración de seguridad en Microsoft 365, destacando las opciones de MFA y autenticación moderna.
Panel de configuración de seguridad en Microsoft 365, destacando las opciones de MFA y autenticación moderna. — Foto: Ed Hardie vía Unsplash

Recomendaciones de Microsoft para defenderte de los ataques a nóminas

Ante esta amenaza persistente y evolucionada, Microsoft ha emitido una serie de recomendaciones concretas para que los equipos de defensa puedan reforzar sus posturas de seguridad.

Implementar MFA resistente al phishing y bloquear la autenticación heredada

La recomendación más crítica es migrar hacia métodos de MFA resistentes al phishing, como las claves de seguridad FIDO2, el Windows Hello for Business o la aplicación Microsoft Authenticator en modo número. Estas soluciones están diseñadas para ser inmunes a los ataques AiTM, ya que la autenticación está ligada criptográficamente al sitio web legítimo.

Paralelamente, es imperativo bloquear los protocolos de autenticación heredados (como IMAP, POP3, SMTP) en los clientes de Microsoft 365, ya que estos no soportan MFA moderna y son una puerta trasera frecuentemente explotada.

Además, en caso de detectar cualquier indicio de compromiso, las acciones inmediatas deben incluir:

  • Revocar de inmediato todos los tokens y sesiones comprometidas.
  • Eliminar cualquier regla de buzón maliciosa creada por el atacante.
  • Restablecer los métodos MFA y las credenciales de todas las cuentas afectadas.
  • Auditar y monitorizar los cambios en los datos bancarios dentro de las plataformas de RRHH y finanzas.

Conclusión: una amenaza en evolución que exige defensas proactivas

La campaña de Storm-2755 subraya una tendencia alarmante: los cibercriminales están desplazando su foco hacia ataques altamente dirigidos que explotan la confianza en procesos empresariales rutinarios, como la gestión de nóminas. El uso de técnicas AiTM para bypassear la MFA ha convertido una protección fundamental en un eslabón débil si no se implementa correctamente.

Para las organizaciones, especialmente aquellas con empleados en remoto o que utilizan servicios en la nube como Microsoft 365, la lección es clara. La seguridad debe evolucionar más rápido que la amenaza. Implementar MFA resistente al phishing, adoptar políticas de acceso de confianza cero (Zero Trust) para aplicaciones críticas como Workday, y formar continuamente a los empleados –especialmente al personal de RRHH y finanzas– sobre estos nuevos vectores de ataque, ya no es una opción, sino una necesidad operativa para proteger uno de los activos más sensibles: el salario de las personas.

Artículos relacionados

Recursos y fuentes oficiales:

¿Sabrían tus empleados detectar un ataque de phishing real?

En Iberia Intelligence diseñamos simulaciones de phishing y campañas de concienciación a medida. Identificamos qué equipos y perfiles son más vulnerables y reducimos el riesgo de brecha por error humano.

→ Solicita información sin compromiso

Deja un comentario