En el tercer trimestre de 2024, el Centro de Respuesta a Incidentes de Seguridad e Industria (INCIBE-CERT) documentó un incremento sostenido de campañas de ingeniería social dirigidas a departamentos de Recursos Humanos de medianas empresas españolas. El vector común: correos electrónicos que simulaban la intranet corporativa de la propia organización, solicitando la validación o actualización de datos bancarios para el procesamiento de nóminas. La tasa de clics en entornos sin capa de verificación de remitente superó, en varios casos auditados, el 30 % de los destinatarios internos.
El phishing dirigido a RRHH que imita la intranet corporativa funciona porque explota tres condiciones simultáneas: la legitimidad percibida del remitente interno, la urgencia operativa del ciclo de nóminas y la ausencia de controles de autenticación de canal en el correo saliente de las propias plataformas de gestión de personal. Bloquear este vector requiere verificación de identidad del emisor antes del clic, no después.
¿Por qué RRHH es el objetivo preferente en campañas de spear phishing interno?
El departamento de Recursos Humanos opera en un régimen de confianza institucional elevada: gestiona datos bancarios de empleados, procesa cambios de cuenta corriente y mantiene comunicación rutinaria con toda la plantilla. Para un atacante, suplantar una dirección de correo interna del tipo nominas@[empresa].es o un portal ficticio como intranet-rrhh.[empresa]-portal.net/validar ofrece una superficie de ataque de alta credibilidad con bajo coste de ejecución.
La EBA publicó en su Report on Fraud under PSD2 (2022) que los ataques de ingeniería social representan la categoría de mayor crecimiento en fraude de transferencias dentro del espacio europeo de pagos. Cuando el canal comprometido es el correo interno percibido, los mecanismos de desconfianza del usuario quedan neutralizados: el remitente parece de casa, el asunto es operativo y la acción solicitada —actualizar un IBAN— forma parte del flujo de trabajo habitual.
La Policía Nacional española ha identificado en sus comunicados públicos de 2023 y 2024 la modalidad conocida como fraude al CEO y su variante de suplantación de nóminas como dos de las tipologías con mayor impacto económico en empresas de entre 50 y 500 empleados. En ambos casos, el correo fraudulento imita cabeceras, logotipos y dominios muy próximos al dominio legítimo de la organización.
¿Cómo construye el atacante una intranet falsa creíble?
La anatomía técnica de estas campañas sigue un patrón documentado en tres fases:
- Reconocimiento pasivo. El atacante recoge información pública: dominio corporativo, estructura de correo electrónico (nombre.apellido@empresa.es), nombres del responsable de RRHH o de nóminas desde LinkedIn o la web corporativa, y fechas aproximadas del ciclo de pago.
- Registro de dominio análogo. Se registra un dominio visualmente próximo al legítimo —sustitución de letras, adición de guiones o subfijos como
banco-operaciones.net/verificar— con un certificado TLS válido para que el navegador muestre el candado de seguridad sin alertar al usuario. - Envío en ventana operativa. El correo se remite entre el día 20 y el 25 del mes, cuando el departamento de nóminas tiene mayor actividad y los empleados esperan comunicaciones sobre su retribución. El asunto suele incluir referencias a "validación obligatoria antes del cierre de nómina" o "actualización de datos bancarios requerida por normativa".
El resultado es un formulario que recoge IBAN, número de seguridad social y, en algunos casos, credenciales de acceso a la intranet real. Los datos se exfiltran en tiempo real a un servidor controlado por el atacante.
"Las entidades deben implementar controles de autenticación robusta no solo en el acceso de clientes, sino en todos los canales de comunicación que puedan desencadenar instrucciones de pago o modificación de datos sensibles." — EBA Guidelines on Internal Governance (EBA/GL/2021/05), párrafo 64, en referencia a los controles de integridad de canal.
¿Qué gap deja el SOC corporativo sin cobertura de canal de comunicación?
El Centro de Operaciones de Seguridad de una organización mediana está calibrado para detectar anomalías en el perímetro de red, comportamientos anómalos en endpoints y accesos no autorizados a sistemas. Su foco es la infraestructura interna. Sin embargo, la amenaza del phishing de intranet se materializa en un canal que en parte transcurre fuera del perímetro controlado: el correo electrónico corporativo saliente, los dominios análogos registrados externamente y el comportamiento del usuario en su navegador antes de que ninguna alarma del SOC se active.
Existe un gap operativo específico entre lo que el SOC monitoriza y lo que el empleado recibe. La detección posterior al incidente —cuando el empleado ya introdujo su IBAN en el formulario falso— no evita el daño patrimonial ni el incidente de seguridad notificable bajo el artículo 33 del RGPD (notificación a la AEPD en 72 horas) y, en entidades financieras, bajo los requisitos de reporte de incidentes TIC del artículo 19 de DORA.
La capa de verificación de canal debe operar antes del clic: autenticando la identidad del remitente, verificando la reputación del dominio destino y alertando al usuario —o bloqueando la interacción— en tiempo de entrega, no en tiempo de respuesta al incidente.
¿Qué aporta VeriMsg en este vector específico?
VeriMsg actúa como capa operativa de verificación de identidad de canal, posicionada entre el remitente del mensaje y el destinatario final, con independencia de si ese destinatario es un cliente externo o un empleado interno que recibe comunicaciones supuestamente corporativas.
En el contexto del phishing de RRHH, la cobertura se articula en tres planos:
- Verificación de identidad de remitente. Contraste del dominio emisor contra registros de reputación y señales de anomalía (antigüedad del dominio, ausencia de registros SPF/DKIM/DMARC coherentes, divergencia entre cabecera visible y ruta de entrega real).
- Análisis semántico y contextual del mensaje. Detección de patrones de urgencia operativa, solicitudes de datos bancarios fuera de flujos validados y referencias a portales cuya URL no coincide con el dominio canónico de la organización.
- Señal auditable por fase. Cada verificación genera un registro trazable —veredicto, puntuación de riesgo y señales activadas— compatible con los requisitos de documentación de incidentes TIC exigidos por DORA (artículo 17) y con la trazabilidad de tratamiento de datos bajo RGPD.
El resultado operativo: el comité de riesgos dispone de evidencia estructurada sobre cada intento de suplantación detectado, con capacidad de reporte a auditoría interna y a supervisores sin reconstrucción manual del incidente.
Preguntas frecuentes
¿Puede el phishing de intranet afectar a organizaciones con autenticación multifactor activa?
Sí. El MFA protege el acceso a sistemas, no la credibilidad percibida de un correo. Si el empleado introduce su IBAN en un formulario falso sin intentar autenticarse en la intranet real, el MFA no interviene. La verificación de canal opera en una capa previa e independiente.
¿Qué obligación normativa activa un incidente de este tipo en una entidad financiera española?
La exfiltración de datos bancarios de empleados activa la notificación a la AEPD en 72 horas (RGPD, artículo 33). Si la entidad está sujeta a DORA, el incidente TIC debe clasificarse y reportarse conforme al artículo 19. El Banco de España puede requerir información adicional según su marco supervisor.
¿El phishing de nóminas está tipificado como fraude en la normativa PSD2?
PSD2 y sus guías técnicas de la EBA cubren la autenticación reforzada en pagos iniciados por clientes. La manipulación de datos bancarios de empleados no encaja directamente en PSD2, pero sí genera transferencias fraudulentas posterior que sí quedan bajo el ámbito de reporte de fraude de la directiva.
¿Cuánto tiempo tarda en registrarse un dominio análogo para una campaña dirigida?
El registro de un dominio análogo con certificado TLS puede completarse en menos de 24 horas. Las campañas más elaboradas incluyen una fase de maduración del dominio de dos a cuatro semanas para reducir señales de reputación negativa antes del envío masivo.
Tres recomendaciones accionables para su comité de riesgos
- Audite hoy su exposición de dominio análogo. Solicite a su equipo de seguridad o a un proveedor externo un barrido de dominios registrados en los últimos 90 días que contengan el nombre de su organización, variantes ortográficas o combinaciones con términos como "nóminas", "intranet" o "portal". Este ejercicio es bajo coste, trazable y aporta evidencia directa al comité. Alineado con las recomendaciones de gestión de riesgo de terceros de DORA (artículo 28) cuando el dominio análogo explota la marca de un proveedor.
- Incorpore verificación de canal en el flujo de comunicación de nóminas. El correo electrónico no es un canal autenticado por defecto. Cualquier comunicación que solicite modificación de datos bancarios debería requerir confirmación por un segundo canal verificado (app corporativa, SMS con firma institucional) y no resolverse únicamente por respuesta a correo. Esta medida cubre el gap que ningún SOC puede cubrir solo.
- Establezca un registro auditable de intentos de suplantación, no solo de incidentes consumados. DORA (artículo 17) y el esquema de reporte de la EBA requieren clasificación y seguimiento de incidentes TIC, pero la madurez operativa real está en detectar y documentar los intentos fallidos. Un registro estructurado de señales detectadas —con veredicto, puntuación y fase de detección— convierte la función anti-fraude en evidencia de due diligence ante auditores y supervisores.
Si su entidad quiere evaluar la exposición actual de sus canales de comunicación internos frente a este vector, el Pilot Readiness Pack de VeriMsg incluye un análisis preliminar de superficie de dominio y una sesión técnica con el equipo de producto. Sin compromiso de contratación. Contacto disponible en verimsg.com.