Storm-2657: Ciberdelincuentes Secuestran Cuentas para Redirigir Nóminas Usando HR SaaS

Introducción

En las últimas semanas, analistas de seguridad han detectado una campaña activa atribuida al grupo Storm-2657, centrada en el secuestro de cuentas de empleados para desviar pagos de nómina hacia cuentas bancarias controladas por los atacantes. Este actor de amenazas ha focalizado sus operaciones en organizaciones estadounidenses, con especial incidencia en el sector de la educación superior, aprovechando vulnerabilidades y errores de configuración en plataformas SaaS de recursos humanos, como Workday. El incidente subraya la urgencia de reforzar las medidas de autenticación y monitorización en servicios críticos externalizados.

Contexto del Incidente

Storm-2657, clasificado por Microsoft Threat Intelligence como un actor con motivación principalmente financiera, ha intensificado sus campañas desde principios de 2024. Su modus operandi consiste en identificar empleados con acceso a plataformas de recursos humanos basadas en la nube, comprometer sus credenciales y modificar la información bancaria asociada a la nómina. El objetivo final es recibir los pagos legítimos de salario directamente en cuentas fraudulentas.

Si bien los ataques se han concentrado en el entorno educativo estadounidense, la naturaleza global de los servicios SaaS implica un riesgo extendido para cualquier organización que utilice soluciones similares, incluidas empresas europeas sujetas al Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2.

Detalles Técnicos

Los analistas han constatado que Storm-2657 emplea técnicas de spear phishing dirigidas, a menudo suplantando comunicaciones internas de RRHH o notificaciones automatizadas de plataformas como Workday. En muchos casos, los correos contienen enlaces a páginas de phishing alojadas en infraestructura comprometida o recién registrada, diseñadas para capturar credenciales de acceso.

Una vez obtenidas las credenciales, los atacantes explotan la falta de autenticación multifactor (MFA) o el uso de métodos de MFA débiles (SMS, correo electrónico) para acceder a la cuenta. A continuación, acceden al panel de autogestión de nómina, modificando de forma encubierta el IBAN o número de cuenta bancaria del empleado.

Se han observado las siguientes TTP (Tácticas, Técnicas y Procedimientos) alineadas con el framework MITRE ATT&CK:
– Initial Access: Phishing (T1566.001)
– Credential Access: Phishing for Information (T1598.002)
– Lateral Movement: Valid Accounts (T1078)
– Impact: Data Manipulation (T1565)

No se ha reportado el uso de malware avanzado, aunque en algunos casos se han aprovechado herramientas de automatización para acceder masivamente a cuentas vulnerables. Los Indicadores de Compromiso (IoC) incluyen dominios de phishing registrados recientemente y direcciones IP asociadas a proxies y VPNs utilizados para evadir controles geográficos.

Impacto y Riesgos

El impacto potencial de estos ataques es significativo. Se han reportado incidentes en los que decenas de empleados han visto desviados sus salarios mensuales, con pérdidas para las organizaciones que oscilan entre 50.000 y 250.000 dólares por incidente. Además del perjuicio económico directo, existe un riesgo reputacional y de cumplimiento normativo, especialmente en entornos regulados por GDPR o NIS2, donde la protección de datos personales y la notificación de incidentes es obligatoria.

La explotación de plataformas SaaS subraya la problemática del shadow IT y la dependencia de proveedores externos, que pueden convertirse en eslabones débiles en la cadena de seguridad corporativa.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a campañas como la de Storm-2657, los expertos recomiendan:
– Implementar MFA robusto (preferentemente basado en aplicaciones TOTP o hardware tokens) en todas las cuentas con acceso a HR SaaS.
– Configurar alertas automáticas para cambios en datos bancarios, tanto para el usuario como para el equipo de RRHH.
– Realizar campañas de concienciación periódicas sobre phishing dirigido y suplantación de comunicaciones internas.
– Limitar el acceso a funciones críticas de autogestión de nómina mediante políticas de privilegio mínimo y revisión periódica de permisos.
– Monitorizar logs de acceso y correlacionar eventos sospechosos con herramientas SIEM para detectar actividades anómalas.
– Establecer acuerdos claros de responsabilidad y respuesta a incidentes con proveedores SaaS, incluyendo cláusulas de notificación y cooperación en caso de brecha.

Opinión de Expertos

Según Rodrigo Díaz, analista jefe de amenazas en S21sec, “la sofisticación de Storm-2657 reside más en la ingeniería social y la explotación de procesos internos que en el uso de malware sofisticado. El eslabón débil sigue siendo el usuario y la falta de control granular en plataformas SaaS tercerizadas”.

Por su parte, la consultora Gartner estima que para 2025 más del 80% de las brechas SaaS estarán relacionadas con configuraciones erróneas o insuficientes controles de acceso, en línea con lo observado en este incidente.

Implicaciones para Empresas y Usuarios

El incidente obliga a las organizaciones a revisar de inmediato su postura de seguridad respecto a aplicaciones SaaS críticas, especialmente aquellas que gestionan datos personales y financieros. Los usuarios deben ser conscientes de los riesgos de phishing y verificar cualquier cambio en sus datos bancarios con los departamentos de RRHH. Además, la legislación europea exige la notificación temprana de este tipo de incidentes y la adopción de medidas de seguridad adecuadas para evitar sanciones millonarias.

Conclusiones

La campaña de Storm-2657 evidencia una tendencia creciente en la explotación de plataformas SaaS por parte de actores motivados financieramente, utilizando técnicas de ingeniería social y aprovechando controles de acceso laxos. La colaboración entre departamentos de RRHH, seguridad y proveedores externos es esencial para cerrar brechas y proteger los activos más sensibles de la organización.

(Fuente: feeds.feedburner.com)