Una nueva estafa ataca a empresas para que envíen nóminas de empleados a ciberdelincuentes

En el mundo del cibercrimen hay dos principios fundamentales: el primero es que el factor humano es el eslabón más débil de la cadena de seguridad. El segundo, que cuanto más sencillo y barato sea el ataque, mejor. Son los dos factores en los que se basa una nueva estafa que está logrando que las empresas envíen nóminas de sus empleados a cuentas bancarias controladas por ciberdelincuentes. ¿Cómo? Suplantando a los trabajadores y pidiéndoles que lo hagan.

Los objetivos de este nuevo ataque son sobre todo los departamentos de Recursos Humanos de grandes empresas, en las que la relación entre personas de diferentes áreas es menos estrecha y cuentan con delegaciones en diferentes lugares. Los ciberdelincuentes seleccionan a través de las redes sociales como LinkedIn empleados que trabajen en esa compañía que pretenden atacar y luego, ya sea en la web de la empresa o por otros medios, localizan a los responsables de personal.

Con la información obtenida del empleado, los atacantes suplantan su identidad y se ponen en contacto con Recursos Humanos por correo electrónico. En un tono amigable, preguntan si sería posible cambiar el número de cuenta en el que hasta ahora se recibe la nómina por uno nuevo, controlada por ellos, con la excusa de que ha cambiado de banco.

Fuentes del sector de la ciberseguridad explican a elDiario.es que ya han detectado este tipo de ataque contra varios objetivos, tanto contra multinacionales como contra consultoras que dan servicio de entrega de nóminas a terceras compañías. Este es un ejemplo de la cadena del tipo de mensaje utilizado, con nombres ficticios pero con la cuenta de correo real que utilizaron los ciberdelincuentes.

“No existe violación del sistema informático en ningún momento, se basa en un simple engaño”, detallan las mismas fuentes. Este tipo de ofensiva se denomina ingeniería social y se basa en utilizar la confiabilidad que suscitan determinadas situaciones cotidianas en la víctima para no levantar sus sospechas. Al contrario de la creencia general, es el método más utilizado en los ciberataques ya que es mucho más barato que diseñar código malicioso para comprometer una organización en concreto.

“La ingeniería social basa su comportamiento en una premisa básica: es más fácil manejar a las personas que a las máquinas. Para llevar a cabo este tipo de ataque se utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente”, detalla el Instituto Nacional de Ciberseguridad (Incibe), que explica en su página web las diferentes variantes y cómo defenderse contra ellas.

En muchas ocasiones los ataques de ingeniería social utilizan la información obtenida en las habituales brechas de seguridad que afectan a las empresas, en los que se filtran datos tanto de sus clientes como de sus empleados. Los ciberdelincuentes utilizan esa información para añadir detalles a sus identidades ficticias y aumentar las posibilidades de generar confianza en la víctima.