Microsoft advierte sobre estafa de 'Payroll Pirate' que afecta a empleados universitarios
Microsoft ha alertado a las organizaciones sobre una campaña de phishing denominada 'Payroll Pirate' que compromete cuentas de Workday para desviar los cheques de pago de los empleados. La estafa, activa desde marzo de 2025, ha afectado cuentas en múltiples universidades. Los atacantes utilizan tácticas sofisticadas para eludir la autenticación multifactor y ocultar sus cambios.
La campaña 'Payroll Pirate' implica correos electrónicos de phishing que engañan a los empleados universitarios para que ingresen sus credenciales en páginas de inicio de sesión falsas que imitan sus portales de recursos humanos, como Workday. Los estafadores emplean tácticas de adversario en el medio para interceptar códigos de autenticación multifactor, lo que les permite acceder a cuentas reales a pesar de las medidas de seguridad.
Una vez dentro, los atacantes modifican la configuración de nóminas para redirigir los depósitos directos a cuentas que controlan. Para evitar la detección, crean reglas de correo electrónico que bloquean las notificaciones automáticas de Workday sobre estos cambios. En algunos casos, agregan un número de teléfono que controlan como opción de recuperación de respaldo para un acceso persistente.
Microsoft informó que desde marzo de 2025, los actores de amenazas han comprometido 11 cuentas en tres universidades. Estas se utilizaron para enviar correos de phishing a casi 6.000 cuentas en 25 universidades. Los cebos varían: un tema afirma exposición a una enfermedad transmisible en el campus, con un enlace para verificar el estado; otro menciona cambios recientes en los beneficios para empleados, que lleva a una página de inicio de sesión disfrazada.
“El actor de amenazas utilizó correos electrónicos de phishing realistas, dirigidos a cuentas en múltiples universidades, para cosechar credenciales”, declaró Microsoft en su aviso.
La campaña resalta vulnerabilidades en métodos de autenticación multifactor no compatibles con FIDO, como códigos de un solo uso por correo electrónico o SMS, que son susceptibles de intercepción. Microsoft recomienda adoptar opciones compatibles con FIDO como contraseñas de paso o claves de seguridad físicas, señalando que no se conocen brechas a través de estos métodos. Los usuarios también deben revisar periódicamente las reglas de filtrado de correo electrónico en busca de bloqueos no autorizados en alertas de seguridad.
Esta estafa subraya la necesidad de una autenticación robusta en sistemas de recursos humanos en la nube, particularmente a medida que el phishing evoluciona para dirigirse a instituciones educativas.