Ciberdelincuentes suplantan la identidad de trabajadores para robarles la nómina

1. Sin darte cuenta, te roban
2. Buenas personas, víctimas favoritas 
3. Nueva técnica de robo en las empresas
4. Casi imposible recuperar el dinero 
5. La ciberseguridad debe ser clave para las empresas

Ana, responsable de Recursos Humanos de una empresa mediana, nunca imaginó que su buena fe sería aprovechada por ciberdelincuentes. Todo comenzó con un correo electrónico que parecía legítimo: “¿Se puede cambiar mi cuenta de nómina para el mes actual, por favor? Actualmente tengo problemas con mi cuenta de nómina, quiero cambiar a mi otra cuenta”.

Sin darte cuenta, te roban

Confiando en la solicitud, Ana procedió a cambiar la domiciliación de los pagos a la cuenta indicada en el mensaje. Sin saberlo, estaba siendo víctima de una estafa bien orquestada que se aprovecha de la confianza y la falta de verificación rigurosa en los procedimientos internos.

Buenas personas, víctimas favoritas 

Igor Unanue, experto en ciberseguridad de S21Sec, explicó cómo operan estos estafadores: “Los delincuentes se valen de la bondad de las personas y el poco contraste de la cuenta para llevar a cabo sus fechorías. Utilizan correos electrónicos falsos, imitando la dirección de un empleado real de la empresa, y solicitan el cambio de la cuenta de nómina, alegando problemas con la cuenta actual”.

El correo que Ana recibió fue cuidadosamente diseñado para parecer una solicitud legítima de un empleado. Sin sospechar de la trampa, Ana cambió la domiciliación de la nómina, transfiriendo el salario del supuesto empleado a una cuenta controlada por los estafadores.

Nueva técnica de robo en las empresas

La ciberseguridad vuelve a ser una preocupación central para las empresas, ya que una nueva táctica de fraude cibernético ha comenzado a ganar terreno. Este método, realizado digitalmente a través de correos electrónicos fraudulentos, está dirigido específicamente a los responsables de Recursos Humanos (RRHH) de las empresas.

El modus operandi, según Igor Unanue,CTO en S21Sec, es bastante simple. Los delincuentes cibernéticos, como se ha podido comprobar, envían un correo electrónico desde una cuenta falsa, simulando ser un empleado de la empresa. En el mensaje, se asegura que el empleado está teniendo problemas con su cuenta bancaria actual y solicita que la domiciliación de su nómina sea cambiada a otra cuenta.

Este tipo de fraude, conocido como "phishing" o "email spoofing", es particularmente peligroso porque se dirige a un área sensible de la empresa y utiliza información aparentemente verídica para manipular a los empleados. Las consecuencias pueden ser devastadoras, tanto para el empleado afectado como para la empresa.

Casi imposible recuperar el dinero 

Unanue explicó que "una vez que se cambia la domiciliación de la nómina, el salario del empleado es transferido directamente a la cuenta de los estafadores, dejando a la víctima sin su salario y a la empresa en una situación complicada para recuperar el dinero".

La ciberseguridad debe ser clave para las empresas

Ante este nuevo tipo de ataque, los expertos en ciberseguridad recomiendan a las empresas reforzar sus protocolos de verificación y concienciar a sus empleados sobre los riesgos del phishing. Entre las medidas sugeridas se encuentran la doble verificación de solicitudes de cambio de información sensible, el uso de herramientas de autenticación multifactor y la capacitación constante en ciberseguridad para todo el personal.

"La educación y la concienciación son clave", afirmó Unanue. "Las empresas deben asegurarse de que sus empleados sean capaces de identificar correos electrónicos sospechosos y sepan cómo responder adecuadamente para evitar caer en estas trampas".

En un entorno digital que cada vez más complejo, la ciberseguridad debe ser una prioridad para todas las organizaciones. La protección de datos y la implementación de prácticas seguras no solo protegen los activos de la empresa, sino también la confianza y la seguridad de sus empleados.