Desde marzo de 2025, un grupo de ciberdelincuentes identificado como Storm-2657 ha dirigido ataques de “nómina pirata” contra universidades de EE.UU., utilizando phishing para secuestrar pagos de salarios. Los atacantes se enfocan en plataformas de recursos humanos, principalmente Workday, pero también pueden afectar otros sistemas de nómina.
Los correos de phishing son convincentes y generan urgencia: simulan alertas sobre brotes de enfermedad, investigaciones internas o actualizaciones de compensaciones, e incluso se hacen pasar por presidentes universitarios o departamentos de RRHH. Los enlaces incluidos capturan credenciales y códigos de autenticación multifactor (MFA) en tiempo real mediante técnicas de “man-in-the-middle”.
Tras comprometer una cuenta, los atacantes configuran reglas de bandeja de entrada que eliminan notificaciones de Workday, permitiéndoles modificar la configuración de nómina y redirigir fondos sin que la víctima se percate. Luego usan las cuentas comprometidas para enviar phishing interno, aumentando la efectividad del ataque: con solo 11 cuentas comprometidas en tres universidades, enviaron correos a casi 6.000 direcciones de 25 instituciones.
Para mantener el acceso prolongado, los atacantes registran sus propios números de teléfono como dispositivos MFA, lo que les permite aprobar acciones maliciosas sin repetir el phishing. Microsoft aclara que el riesgo no proviene de fallos de Workday, sino de ingeniería social y protección insuficiente de MFA.
Medidas de protección recomendadas:
- Limitar la información personal disponible en línea para reducir el riesgo de phishing dirigido.
- No hacer clic en enlaces ni abrir archivos adjuntos de correos sospechosos, incluso si parecen provenir de RRHH o directivos.
- Mantener un software antivirus actualizado en todos los dispositivos, que pueda detectar phishing y malware.
- Revisar regularmente la configuración de MFA y alertas de cuentas de nómina para detectar accesos no autorizados.
La amenaza demuestra que la seguridad de los sistemas internos depende tanto de la tecnología como del comportamiento humano y la disciplina en la gestión de credenciales.
