Los ciberdelincuentes ahora van a por tu nómina: alertan del nuevo gran objetivo de los hackers

Los ataques informáticos han evolucionado y ahora apuntan a uno de los activos más sensibles de cualquier organización: las nóminas de sus empleados. Los ciberdelincuentes han identificado esta información como una mina de oro, no solo por el valor económico directo, sino por la ingente cantidad de datos personales que contienen. Eusebio Nieva, director técnico de Check Point Software para España y Portugal, advierte que estamos ante una tendencia en auge que exige una respuesta contundente tanto de las empresas como de los propios trabajadores. Según el experto, "el robo de información asociada a las nóminas se ha convertido en un objetivo prioritario para los grupos criminales por su alta rentabilidad y el impacto que genera". Esta nueva oleada de ciberataques busca obtener desde números de cuenta bancaria y salarios hasta datos fiscales y números de la Seguridad Social.

El ‘modus operandi’ del delincuente

La principal puerta de entrada para estos ataques sigue siendo el correo electrónico. Los atacantes utilizan técnicas de phishing altamente sofisticadas, suplantando la identidad de departamentos de Recursos Humanos o incluso de directivos de la propia empresa. A través de mensajes fraudulentos, instan a los empleados a verificar sus datos, actualizar sus credenciales o descargar documentos que, en realidad, esconden malware diseñado para recolectar información. "Hemos visto campañas muy elaboradas en las que se replican a la perfección los portales internos de las compañías, haciendo casi imposible para un usuario medio distinguir el engaño", explica Nieva. El eslabón más débil sigue siendo el empleado desinformado.

Hemos visto campañas muy elaboradas en las que se replican a la perfección los portales internos de las compañías"

Otra táctica habitual es la explotación de vulnerabilidades en el software de gestión de RRHH. Si estos sistemas no están correctamente actualizados y parcheados, los ciberdelincuentes pueden encontrar una brecha para acceder directamente a la base de datos de la empresa, haciéndose con la información de toda la plantilla de una sola vez. Nieva subraya que "muchas empresas, especialmente las pymes, no invierten lo suficiente en la ciberseguridad de sus sistemas de back-office, y eso las convierte en un blanco fácil". El experto de Check Point Software señala que, a menudo, los atacantes logran acceso a través de credenciales robadas a un único empleado, que luego utilizan para escalar privilegios dentro de la red corporativa hasta alcanzar los sistemas críticos.

Consecuencias más allá del dinero

El impacto de un robo de nóminas va mucho más allá de la posible pérdida económica directa. La información obtenida se convierte en una poderosa herramienta para los delincuentes, que pueden utilizarla para perpetrar estafas de suplantación de identidad, solicitar créditos a nombre de la víctima o incluso cometer fraude fiscal. Estos datos también alcanzan un alto valor en la dark web, donde se venden al mejor postor, multiplicando el riesgo para los afectados. "Una vez que los datos están en la dark web, el daño es casi irreparable. La información puede circular durante años, siendo utilizada para todo tipo de actividades ilícitas", alerta el director técnico.

Para la empresa, las consecuencias también son devastadoras. Además de las posibles sanciones económicas derivadas del incumplimiento de la normativa de protección de datos (GDPR), la compañía se enfrenta a un grave daño reputacional. La pérdida de confianza por parte de los empleados puede generar un clima laboral negativo y una fuga de talento. Como sentencia Nieva, la confianza es un activo intangible muy valioso, y "cuando un empleado siente que su empresa no ha protegido adecuadamente su información más personal, esa relación se quiebra y es muy difícil de reconstruir".

La prevención es la única estrategia realmente efectiva"

Cómo protegerse: una doble responsabilidad

Ante esta amenaza creciente, la protección debe ser un esfuerzo conjunto entre la organización y sus trabajadores. Eusebio Nieva insiste en que la prevención es la única estrategia realmente efectiva. Por parte de la empresa, es fundamental implementar una arquitectura de ciberseguridad robusta, que incluya la autenticación multifactor (MFA) para acceder a sistemas sensibles, mantener todo el software actualizado y realizar auditorías de seguridad periódicas. "La formación continua es clave. Los empleados deben ser capaces de reconocer un intento de phishing y saber cómo actuar", afirma el experto.

Desde la perspectiva del empleado, la vigilancia y la desconfianza son los mejores aliados. Es crucial verificar siempre la autenticidad de los correos electrónicos que solicitan información personal, especialmente si tienen un tono de urgencia. Nunca se deben utilizar las mismas contraseñas para diferentes servicios y es recomendable desconfiar de las redes wifi públicas para acceder a información sensible. "Ante la más mínima duda, la recomendación es no hacer clic y contactar directamente con el departamento de RRHH o de TI por un canal de comunicación diferente y verificado. Es mejor pecar de precavido que lamentar el robo de tus datos", concluye Nieva.