¿Un email referido a tu nómina? ¡Cuidado! Podría ser un fraude
Los ciberdelincuentes aprovechan los días en los que las empresas suelen emitir las nóminas para mandar correos fraudulentos. ¿Qué buscan?

Los últimos días de mes traen una bonita noticia para todos los empleados: la llegada de su nómina. Aunque sea un hecho rutinario, hay muchos trabajadores que están pendientes de ello porque esperan ajustes salariales, anticipos, bonus, etc.
Esa expectativa puede hacer que se muestren ansiosos ante cualquier mensaje relacionado con el cobro de su salario, por lo que los ciberdelincuentes han aprendido a aprovechar esa debilidad.
Así pues, se han detectado ataques en los que se están enviando correos electrónicos aparentemente corporativos sobre recibos de sueldo, revisiones de nómina o documentos internos.
Su objetivo es que la víctima haga clic en un enlace, descargue un archivo o introduzca sus credenciales en una página falsa.
“El final y el principio de mes son momentos especialmente sensibles, porque muchas personas esperan recibir comunicaciones legítimas relacionadas con su salario. Los ciberdelincuentes lo saben y utilizan la nómina como un reclamo muy eficaz para que el usuario actúe rápido y baje la guardia. Este fraude es especialmente representativo de cómo operan las campañas de phishing, ya que aprovecha una rutina real dentro de las empresas, imita una comunicación interna aparentemente normal y juega con una cuestión tan sensible como el cobro del salario”, declara Josep Albors, director de investigación y concienciación de ESET España.
¿Cómo es el fraude de la nómina?
La compañía de ciberseguridad ha analizado una campaña reciente que aprovecha el pretexto de la nómina para estafar a sus víctimas, descubriendo cómo funciona este fraude.
Todo comienza cuando los empleados reciben un correo que hace referencia a un supuesto recibo de sueldo disponible para la descarga.
El mensaje no menciona una empresa concreta, sino que se limita a presentarse como una comunicación del departamento de recursos humanos.

ESET indica que ésta es una señal habitual en este tipo de campañas, ya que permite a los atacantes reutilicen el mismo correo contra trabajadoras de distintas empresas.
En el mensaje aparece un enlace que, al hacer clic, lleva a la víctima a una página diseñada por los atacantes. Ese sitio simula estar relacionado con Acrobat Reader y muestra la disponibilidad de un documento, que muchos usuarios pensarán que es la nómina a la que refiere el email.

Al pinchar, la siguiente pantalla que se muestra en esa web maliciosa indica que ya tenemos listo el supuesto documento. Sin embargo, en vez de descargar una nómina legítima, lo que recibe el incauto usuario es un archivo comprimido que contiene un acceso directo malicioso de Windows, esperando a ser abierto por el usuario.
Y al abrirse, se inicia una cadena de infección diseñada para descargar y ejecutar código adicional en el equipo. Para ello, utiliza herramientas legítimas del sistema, como cmd.exe o mshta.exe, para dificultar la detección.

¿Qué puede suceder?
Según el análisis de ESET, este malware es capaz de modificar claves del registro relacionadas con las zonas de seguridad de internet, lo que puede debilitar las protecciones del navegador y permitir más operaciones maliciosas. Por ejemplo, puede facilitar la descarga de más programas.
Además, trata de robar información del sistema donde se ha instalado, principalmente relacionada con asuntos financieros.
Así pues, la compañía de ciberseguridad señala que la infraestructura y las técnicas utilizadas parecen indicar que se trata de una campaña orientada al robo de información financiera, como credenciales de banca online o datos de tarjetas.
No obstante, recalca que este tipo de ataques también puede comprometer otra información sensible del usuario o de la empresa.
Además, detalla que esta campaña presenta similitudes con operaciones vinculadas a troyanos bancarios como Casbaneiro, Grandoreiro u otras familias similares.
Señales de alerta
Entre las señales que deberían poner en alerta a los empleados, ESET destaca las siguientes:
Remitentes genéricos o poco claros
La compañía reseña que deben revisarse con especial cautela aquellos mensajes que afirman proceder de recursos humanos, administración o finanzas, pero no identifican correctamente a la empresa.
Enlaces externos para descargar la nómina
Muchas empresas disponen de portales internos o herramientas específicas para consultar documentos laborales. Por eso, ESET remarca que no conviene acceder si el enlace dirige a una web desconocida, acortada o con un dominio sospechoso.
Urgencia o presión para actuar
Las prisas no son buenas. Si el email incluye frases que sugieren que la nómina está pendiente de validación, que existe un error en el pago o que es necesario descargar un documento de inmediato, es una bandera roja. Este tipo de mensajes buscan reducir la capacidad de análisis de la víctima.
Archivos comprimidos o accesos directos
ESET hace hincapié en que una nómina debería recibirse como un documento legítimo y esperado. De este modo, la presencia de archivos .zip, .rar, .lnk, .js o ejecutables debe considerarse una señal de riesgo.
Errores de redacción o mensajes demasiado impersonales
Aunque los ciberdelincuentes han mejorado la calidad de sus comunicaciones, siguen siendo generalmente textos genéricos, sin contexto corporativo o con pequeñas incoherencias. Si se ve algo raro, mejor poner el correo en cuarentena.
¿Cómo evitar problemas?
En este caso, se trata de un ataque relacionado con la nómina, pero hay otras muchas variables. ESET recalca que este tipo de estafas también se pueden disfrazar de páginas falsas de acceso a portales del empleado, solicitudes de actualización de datos bancarios, supuestos cambios en el método de pago o mensajes que piden confirmar información personal para evitar retrasos en el cobro.
Para reducir el riesgo, la compañía recomienda no hacer clic en enlaces incluidos en correos inesperados sobre nóminas, acceder siempre al portal del empleado escribiendo la dirección manualmente o desde marcadores guardados
Además, indica que hay que verificar cualquier comunicación dudosa con el departamento de recursos humanos por un canal independiente y no abrir archivos adjuntos si no se esperaba recibirlos.
Desde el punto de vista corporativo, aconseja reforzar la formación de los empleados, activar la autenticación multifactor, contar con soluciones de seguridad capaces de bloquear enlaces y archivos maliciosos, y establecer procedimientos claros para reportar correos sospechosos.
Además, recomienda que los departamentos de recursos humanos informen previamente a la plantilla sobre los canales oficiales utilizados para compartir nóminas o documentación laboral.
Y si ya has sufrido un ciberataque, te aconsejamos que eches un vistazo a este artículo. En él apuntamos 5 pasos básicos para tratar de minimizar su impacto.
Recomendados

¿Entiendes todos los conceptos que se incluyen en tu nómina? LinkedIn aclara algunas dudas frecuentes.

Con el teletrabajo, la nube y el acceso distribuido, los ciberdelincuentes sólo tienen que robar las credenciales de los empleados para atacar a las empresas. Tienen al enemigo en casa

Las organizaciones saben el peligro que entrañan los ciberriesgos. Estos incidentes vuelven a ser la principal preocupación de las empresas

¿Sabes qué has de hacer para reaccionar a un ciberataque? Te ofrecemos algunos consejos para manejas esta situación y minimizar su impacto
