El correo electrónico fraudulento que puede dejarte sin nómina a final de mes: "He cambiado de cuenta bancaria"

Una nueva estafa online que intenta robar la nómina amenaza a cientos de trabajadores. La manera fraudulenta de actuar para intentar hacerse con el salario mensual del empleado es una más de las muchas tretas que los ciberdelincuentes llevan a cabo a diario. Esta técnica de phishing suplanta la identidad del trabajador a través de un email que se envía al departamento de recursos humanos de su empresa. En él, el supuesto empleado informa de que ha cambiado de banco y que, desde ahora, el número de cuenta donde ingresar el sueldo es diferente. Otra manera que los estafadores online han ideado para hacerse con grandes sumas de dinero de manera ilegal.

Concretamente, el asunto del correo electrónico que los ciberdelincuentes envían a las compañías es "Actualización de mis datos bancarios para la nónima". Estos se dirigen directamente a la persona encargada de los recursos humanos de las empresas por su nombre, hablándoles con naturalidad, para informarles que "recientemente he cambiado de cuenta bancaria". Acto seguido, les piden información sobre cómo proceder para actualizar los datos bancarios y por dónde debe enviarle el nuevo número de cuenta IBAN. El mensaje aparece firmado por el supuesto empleado, con su cargo incluido.

Este tipo de datos pueden obtenerlo los suplantadores a través de los perfiles profesionales en LinkedIn o en cualquier otra red social donde la víctima haya compartido su cargo. El correo falso, creado con nombres y apellidos de la víctima, suele ser perteneciente a un dominio extraño ajeno a la compañía. Un detalle que suele levantar las sospechas de los profesionales de Recursos Humanos. Además, el propio software de mensajería se encarga de emitir una advertencia acerca de la procedencia externa del email.

Qué es el Spear phishing y a quién va dirigido

Los ataques de suplantación de idenfidad de personas o empresas son uno de los mecanismos más usados por los ciberdelincuentes a diario. Desde entidades financieras de renombre como La Caixa hasta empresas energéticas como Endesa sufren a diario este tipo de prácticas para intentar engañar a sus clientes. El objetivo de estos engaños siempre es la obtención de datos sensibles que permitan acceder a los fondos de la víctima.

La Guía de Ciberataques del Gobierno de España indica que este tipo de mensajes suelen ir acompañados de cierta urgencia o veracidad para evitar que se haga una revisión exhaustiva del contenido y conseguir que los destinatarios piquen. "Ataques por ingeniería social" los llama a este tipo de prácticas muy similares de las que hay tres tipos: phishing, smishing y vishing. El primero de ellos, el phishing es el que suele usarse vía email, redes sociales o vía Whatsapp. Por su parte, el smishing tiene el mismo propósito pero usa como canal los SMS. Por último, el Vishing se hace mediante llamadas telefónicas. En muchas de las ocasiones, traen un enlace malicioso o un archivo adjunto infectado.

En el caso de un ataque dirigido contra una persona concreta, como puede ser esta cadena de emails que tratan de hacerse con el salario de los trabajadores, se conoce como Spear Phishing. Se conoce así cuando las tácticas de engaño y manipulación para la obtención de datos sensibles se han centrado en una persona con la recopilación de información de manera previa.