En el segundo trimestre de 2024, el Centro de Respuesta a Incidentes de Seguridad e Industria (INCIBE-CERT) documentó un incremento sostenido de campañas de spear phishing dirigidas específicamente a departamentos de Recursos Humanos y nóminas de empresas españolas. El patrón era consistente: un correo interno aparentemente enviado desde el dominio corporativo, con logotipos y estructura visual de la intranet, solicitaba al receptor que confirmara o actualizara su cuenta bancaria vinculada al cobro de nómina. La ventana de acción era breve, el argumento urgente —"su próxima nómina podría verse afectada"— y el enlace, un dominio registrado horas antes con variación mínima respecto al real.
I. Por qué el departamento de RRHH es la superficie de ataque preferida
La lógica del atacante es económica. Un departamento de nóminas gestiona datos bancarios de toda la plantilla, opera bajo plazos inamovibles que generan presión psicológica y procesa con frecuencia solicitudes legítimas de cambio de datos personales. Estas tres condiciones combinadas crean el contexto ideal para que una comunicación fraudulenta sea tratada como rutina.
El vector no es nuevo, pero la sofisticación sí. Donde antes bastaba con imitar la identidad visual de una entidad bancaria, ahora el atacante replica la intranet corporativa de la propia empresa objetivo: portal de empleados, cabecera del sistema de gestión del capital humano, pie de firma del responsable de Compensación y Beneficios. La diferencia es crítica: el empleado no evalúa si confía en un banco desconocido, evalúa si confía en su propia organización. La fricción cognitiva desaparece.
Los indicadores técnicos que distinguen estos mensajes de comunicaciones legítimas son, sin embargo, detectables en fases previas al clic. El problema no es la ausencia de señales, sino la ausencia de la capa operativa que las procese antes de que el mensaje llegue a la bandeja de entrada.
II. Anatomía forense de la campaña: tres fases y sus señales trazables
Fase 1: Reconocimiento y construcción de credibilidad
El atacante no improvisa. Semanas antes del envío, rastrea fuentes abiertas: LinkedIn para identificar responsables de RRHH y sus estructuras de firma, avisos de cambio de política retributiva publicados en la web corporativa, y en ocasiones datos filtrados de incidentes previos. Con este material construye un mensaje que contiene referencias internas verificables: nombre del responsable de nóminas, referencia al sistema de gestión de recursos humanos que usa la empresa, incluso el ciclo de pago habitual.
La infraestructura del dominio fraudulento se prepara en paralelo. Dominios como rrhh-miempresa.net/validar-datos o portal-nominas.miempresa.com.gestionhr.info se registran con escasas horas o días de antelación, bajo privacidad de titular, con certificado TLS válido para no activar las alertas de navegador, y alojados en infraestructura que rota con frecuencia para dificultar el bloqueo reactivo.
Fase 2: El envío y la manipulación de cabeceras
El correo fraudulento llega con cabeceras manipuladas que simulan el dominio legítimo cuando el servidor receptor no valida correctamente los registros SPF, DKIM y DMARC. En entornos donde estas políticas están configuradas en modo monitoring en lugar de enforcement —situación frecuente en organizaciones que temen el rechazo de correos legítimos mal configurados—, el mensaje atraviesa los filtros estándar.
"La implantación de DMARC en modo reject sigue siendo minoritaria en el tejido empresarial español. Según datos de la EBA en su informe sobre fraude en pagos minoristas de 2023, el correo electrónico continúa siendo el canal de inicio más frecuente en las cadenas de fraude que culminan en transferencias no autorizadas, lo que sitúa la validación del canal en el núcleo de cualquier estrategia de prevención alineada con los requisitos de autenticación reforzada de PSD2 (Directiva UE 2015/2366, artículo 97)."
En la muestra analizada por INCIBE-CERT, una proporción significativa de los dominios fraudulentos utilizados en campañas contra empresas españolas presentaba antigüedad inferior a 72 horas en el momento del envío. Este dato, cruzado con el registro de actividad de resolución DNS y la reputación del servidor de envío, constituye una señal de alta fidelidad cuando se procesa en tiempo real.
Fase 3: La página de captura y la exfiltración silenciosa
El destino del clic es una réplica funcional del portal de empleados o del formulario de actualización de datos bancarios. La calidad del clon ha mejorado notablemente: hoy se generan mediante herramientas automatizadas que capturan el HTML del portal legítimo, sustituyen los endpoints de envío de formulario por los del atacante, y mantienen la navegación parcialmente funcional para no levantar sospechas inmediatas.
El empleado introduce número de cuenta, en algunos casos también credenciales de acceso al portal, y recibe una confirmación genérica. Los datos viajan en claro o con cifrado básico al servidor del atacante. En las horas siguientes, si el proceso de nóminas no dispone de un segundo canal de verificación para cambios de datos bancarios, el daño puede ser irreversible antes de que el sistema lo detecte.
III. El gap que el SOC corporativo no cubre por diseño
Esta afirmación no es una crítica al SOC del partner: es una descripción de su ámbito de actuación. El Centro de Operaciones de Seguridad corporativo monitoriza infraestructura propia, alertas de endpoints, tráfico de red interno y eventos de identidad dentro del perímetro gestionado. Su mandato no incluye, por diseño, la vigilancia de infraestructura externa que imita a la organización antes de que ningún activo corporativo haya sido comprometido.
El dominio rrhh-miempresa.net se registra, se configura y envía miles de mensajes sin que el SOC corporativo reciba ninguna alerta, porque ninguno de esos eventos ocurre dentro de su perímetro. El primer indicio que el SOC puede detectar es, en el mejor caso, el clic del empleado sobre un enlace externo. Para muchas tipologías de exfiltración de datos bancarios, ese momento ya es demasiado tarde.
La capa anti-fraude que cubre este gap opera en el espacio que hay entre la infraestructura del atacante y el dispositivo del empleado: analiza el dominio antes de que el mensaje sea entregado, evalúa en tiempo real la reputación del remitente y la coherencia de las cabeceras, contrasta la antigüedad del dominio y la similitud semántica con el dominio legítimo de la organización, y puede —con integración en el servidor de correo o en la pasarela de mensajería— bloquear o poner en cuarentena el mensaje antes del primer clic.
IV. Qué cubre VeriMsg en este ángulo específico
VeriMsg opera como capa de verificación del canal de comunicación en el segmento previo al clic. Para la tipología descrita, la cobertura se estructura en torno a tres capacidades operativas diferenciadas.
La primera es el análisis de señales de infraestructura del dominio remitente: antigüedad del registro, coherencia del titular con el perfil declarado, presencia en listas de reputación en tiempo real y análisis de similitud léxica con dominios legítimos de la organización objetivo. Esta señal, combinada con la validación de registros de autenticación del correo, genera un veredicto trazable y auditable antes de la entrega.
La segunda es la correlación de patrones de campaña. Una campaña de spear phishing dirigida a RRHH no envía un solo mensaje: envía cientos o miles en ventanas cortas. La detección de patrones de envío masivo con variación mínima de dominio permite elevar el umbral de riesgo antes de que el volumen de incidentes sea visible para el equipo de seguridad interno.
La tercera es la generación de evidencia auditable. En el contexto de DORA (Reglamento UE 2022/2554, artículo 17, sobre gestión de incidentes relacionados con las TIC) y de los requisitos de reporte del Banco de España en materia de ciberincidentes, disponer de un registro trazable de las señales que activaron el bloqueo —con marca temporal, hash del mensaje analizado y puntuación de riesgo por fase— reduce materialmente el tiempo de elaboración del informe de incidente y refuerza la posición de la entidad ante el supervisor.
Checklist ejecutivo: cinco preguntas para su comité de riesgos
- ¿Su política DMARC está en modo reject o en modo monitoring? Si la respuesta es monitoring, los mensajes con cabeceras manipuladas están llegando a las bandejas de entrada. La transición a enforcement requiere un análisis previo de configuración, pero es el paso más inmediato y de mayor retorno.
- ¿Dispone de un segundo canal de verificación para solicitudes de cambio de datos bancarios en nómina? Un proceso que requiera confirmación por canal alternativo —llamada al número corporativo verificado, validación presencial o por aplicación corporativa autenticada— neutraliza el impacto de esta tipología aunque el empleado complete el formulario fraudulento.
- ¿Su SOC tiene visibilidad sobre dominios externos que replican su identidad corporativa antes de que lleguen a su perímetro? Si la respuesta es no, existe un intervalo de ceguera entre el momento en que el atacante prepara la infraestructura y el momento en que el incidente es visible internamente.
- ¿Sus registros de incidente cubren las señales previas al clic con suficiente trazabilidad para un reporte regulatorio? DORA artículo 19 y las directrices de la EBA sobre reporte de incidentes graves establecen requisitos de documentación que van más allá del log del endpoint comprometido.
- ¿Su programa de concienciación incluye simulaciones específicas de spear phishing interno —no solo de banca o paquetería— con métricas de tasa de clic por departamento? RRHH y Finanzas presentan tasas de exposición superiores a la media en esta tipología. La medición departamental permite focalizar la formación donde el riesgo es mayor.
Si su entidad aún no ha evaluado la cobertura de este vector de forma específica, el Pilot Readiness Pack de VeriMsg incluye un análisis de exposición inicial sin compromiso de implantación. Contacte con el equipo técnico para solicitar la evaluación adaptada al perfil de su organización.