Hace poco, investigadores de seguridad identificaron una campaña dirigida a robar los salarios de empleados canadienses aprovechando una combinación de técnicas que ya se han visto crecer en los últimos años: páginas de inicio de sesión falsificadas que interceptan tokens de sesión y reglas de bandeja de entrada que silencian cualquier aviso de recursos humanos. El grupo detrás de este esquema, rastreado como Storm-2755, no se conformó con capturar nombres de usuario y contraseñas: su objetivo fue reutilizar las sesiones ya autenticadas para moverse con impunidad dentro de los entornos de Microsoft 365 y de plataformas de nómina.
La mecánica del fraude parte de una táctica clásica de phishing mejorada: los atacantes colocan en la cima de resultados de búsqueda o en anuncios maliciosos páginas que imitan los formularios de inicio de Microsoft 365. Cuando la víctima intenta autenticarse, la página actúa como un proxy en tiempo real —una técnica conocida como adversary‑in‑the‑middle (AiTM)— y captura las cookies y los tokens OAuth emitidos tras una autenticación exitosa. Esos tokens equivalen a una sesión ya aprovada, y por eso los delincuentes pueden reutilizarlos para acceder a los servicios sin que se les vuelva a pedir la contraseña ni el código de multifactor. Microsoft explica con más detalle cómo funcionan estos ataques y el flujo seguido por Storm‑2755 en su informe técnico publicado recientemente.
Un ejemplo concreto que ilustra el engaño es el uso de dominios legítimos para alojar las páginas falsas (entre los nombres implicados apareció, por ejemplo, bluegraintours[.]com), y la promoción de esas páginas mediante malvertising o técnicas de “envenenamiento” de los motores de búsqueda. El resultado: víctimas que creen estar accediendo a Microsoft 365 cuando en realidad están entregando las credenciales y, lo que es más crítico, las pruebas de una sesión ya validada.
Una vez dentro de una cuenta comprometida, los atacantes ponen en marcha medidas para que la víctima no detecte la intrusión. Crean reglas automáticas en la bandeja de entrada que trasladan a carpetas ocultas los correos de recursos humanos que incluyen palabras clave como “depósito directo” o “banco”, lo que impide que el usuario vea comunicaciones sobre cambios en la nómina. Después, buscan correos relacionados con “payroll”, “HR”, “direct deposit” o “finance” y se hacen pasar por el empleado para solicitar a personal de recursos humanos que actualice los datos bancarios. Cuando la ingeniería social no funciona, los adversarios aprovechan la sesión robada para entrar directamente en plataformas de gestión de personal como Workday y modificar las cuentas para desviar transferencias.
Este tipo de fraude, conocido como “payroll pirate” o pirateo de nóminas, es una variante de los esquemas de compromiso de correo empresarial (BEC) que se dirigen a organizaciones y personas que realizan transferencias de dinero con regularidad. La magnitud del problema es enorme: según el informe anual del FBI, el IC3 recibió en 2025 más de 24.000 denuncias de BEC con pérdidas que superaron los 3.000 millones de dólares, lo que sitúa este fraude entre los más lucrativos a nivel global según el propio IC3.
Los equipos de seguridad tienen varias palancas para reducir el riesgo de este vector de ataque, y muchas pasan por impedir que un token robado pueda reutilizarse. Bloquear protocolos de autenticación “legacy” y adoptar métodos de MFA resistentes al phishing son medidas clave. Organizaciones como NIST ofrecen guías sobre gestión de identidad y autenticación que recomiendan evitar mecanismos vulnerables; además, Microsoft y otras plataformas explican cómo implantar métodos sin contraseña y basados en FIDO2 o certificados, que complican mucho el trabajo de los proxies AiTM. Para un marco práctico sobre MFA resistente al phishing puede consultarse la documentación técnica de Microsoft sobre ese enfoque de seguridad aquí, y las guías de NIST sobre control de acceso ayudan a entender los principios subyacentes en este documento.
Si se detecta una intrusión, la respuesta rápida es esencial: revocar las sesiones y tokens comprometidos, eliminar reglas de bandeja sospechosas, forzar el restablecimiento de factores de autenticación y credenciales, y revisar los accesos a sistemas de nómina. Microsoft detalla esas recomendaciones operativas en su informe sobre Storm‑2755, y las medidas de contención deben combinar acciones técnicas con una revisión forense para entender el alcance del abuso.
Este incidente forma parte de una tendencia más amplia. En octubre pasado, Microsoft intervino para desarticular otra campaña de pirateo de nóminas —atribuida a un actor distinto, Storm‑2657— que desde marzo de 2025 había estado comprometiendo cuentas de Workday de empleados universitarios en Estados Unidos. La táctica fue similar: phishing combinado con técnicas AiTM para eludir MFA y tomar el control de buzones de Exchange Online con el fin de manipular pagos.
Para las organizaciones, la lección es doble: por un lado, reforzar controles técnicos (bloqueo de autenticación antigua, MFA phishing‑resistente, monitorización de sesiones y revocación automática ante comportamientos anómalos). Por otro, adaptar los procedimientos de recursos humanos y finanzas para validar cambios en cuentas bancarias con múltiples canales fuera del correo electrónico habitual, y mantener a personal de RR. HH. entrenado para detectar solicitudes sospechosas. También es importante que los equipos de adquisición de publicidad y los responsables de reputación en buscadores controlen dónde se muestran anuncios y supervisen posible contenido malicioso que pueda promocionar páginas clonadas.
En última instancia, estos ataques muestran que la seguridad moderna ya no depende solo de una buena contraseña o de un segundo factor tradicional: los adversarios sofisticados explotan los propios mecanismos de autenticación para convertirlos en puertas de entrada. La defensa efectiva exige combinar tecnología, procesos y gobernanza para que una sesión robada deje de ser un billete gratuito hacia las cuentas de nómina. Para quienes quieran profundizar, las fuentes de Microsoft y el IC3 son un punto de partida sólido y actualizado sobre la naturaleza de estas amenazas y las contramedidas recomendadas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...