Secuestro de sesiones: La nueva táctica de Storm-2755 para robar salarios

En el panorama de amenazas digitales de 2026, la ciberdelincuencia ha abandonado el ruido estridente del ransomware tradicional por métodos mucho más quirúrgicos y devastadores. El actor de amenazas conocido como Storm-2755 ha emergido como el rostro de esta nueva era, orquestando una campaña sofisticada de “piratería de nóminas” que prioriza la rentabilidad directa mediante el secuestro de sesiones. A diferencia de los ataques que buscan el cifrado de datos para pedir un rescate, esta nueva metodología se infiltra en las organizaciones para desviar silenciosamente los salarios de los empleados, explotando la confianza inherente que los sistemas de autenticación depositan en las sesiones activas.

El Auge del “Pirata de Nóminas”: ¿Qué es Storm-2755?

Storm-2755 no es un grupo de ciberdelincuentes convencional. Su enfoque es agnóstico en cuanto a la industria, lo que significa que cualquier organización con sistemas de nómina digital es un objetivo potencial. La campaña, identificada inicialmente tras una serie de ataques contra trabajadores canadienses, utiliza una combinación letal de técnicas de ingeniería social y manipulación técnica para redirigir fondos hacia cuentas bancarias o billeteras de criptomonedas controladas por los atacantes.

La sofisticación de este grupo radica en su capacidad para operar bajo el radar. Al utilizar sesiones legítimas y autenticadas, evaden las alertas de fraude que tradicionalmente se disparan ante cambios de credenciales inusuales o inicios de sesión desde ubicaciones geográficas distantes. Para el sistema de seguridad corporativo, el atacante *es* el empleado, y por lo tanto, cualquier solicitud de cambio de cuenta bancaria parece una gestión rutinaria del usuario.

La Mecánica del Ataque: Adversary-in-the-Middle (AitM)

La piedra angular de esta campaña es el uso de proxies de phishing Adversary-in-the-Middle (AitM). En lugar de intentar descifrar contraseñas o forzar la entrada a través de vulnerabilidades de software, Storm-2755 atrae a las víctimas a sitios web falsos que imitan portales legítimos, como Microsoft 365.

Cuando un usuario interactúa con estos portales fraudulentos, el proxy AitM actúa como un puente en tiempo real entre la víctima y el servicio real. El proceso funciona de la siguiente manera:

• Captura de Credenciales: El atacante intercepta las credenciales del usuario conforme son introducidas.
• Intercepción del Token: Lo más crítico es la captura de los tokens de sesión (cookies de autenticación) emitidos tras una autenticación exitosa.
• Replay de Token: El atacante “reproduce” estos tokens en su propia infraestructura, lo que le permite acceder a la cuenta como si fuera el usuario legítimo, saltándose por completo los desafíos de Multi-Factor Authentication (MFA) que ya fueron superados por el usuario original.

Un detalle técnico revelador detectado por los equipos de respuesta a incidentes es el uso del cliente HTTP Axios (comúnmente la versión 1.7.9) para realizar estas conexiones. Cuando el sistema detecta que el agente de usuario cambia repentinamente a Axios mientras el ID de sesión permanece constante, se confirma que no estamos ante un nuevo inicio de sesión, sino ante un secuestro de token en curso.

La Infiltración: De la Sesión al Bolsillo

Una vez dentro, el comportamiento de Storm-2755 es metódico. Su objetivo no es la exfiltración masiva de datos, sino la persistencia silenciosa. Los pasos que siguen para garantizar el éxito de su robo financiero son inquietantemente efectivos:

1. Discovery (Descubrimiento): El atacante explora el buzón de correo electrónico de la víctima en busca de palabras clave relacionadas con nóminas, recursos humanos o finanzas.
2. Aislamiento del Objetivo: Para evitar ser detectados, crean reglas de bandeja de entrada que mueven automáticamente los correos electrónicos entrantes desde el departamento de recursos humanos o bancos a carpetas ocultas (como “Historial de Conversaciones”).
3. Ingeniería Social Inversa: Utilizando la propia cuenta del empleado, envían correos electrónicos legítimos a RRHH solicitando cambios en la información de depósito directo. Al ser una comunicación interna, es extremadamente difícil que el personal de nóminas sospeche.
4. Modificación de Registros: En algunos casos, si tienen acceso a portales SaaS (Software as a Service) como Workday, realizan el cambio ellos mismos, aprovechando que la sesión ya está autorizada.

Por qué el MFA Tradicional es Insuficiente

La gran lección de la campaña Storm-2755 es que el MFA no es una panacea. El MFA convencional (SMS, llamadas de voz, aplicaciones de autenticación push) protege el “front door” (la contraseña), pero una vez que el usuario ha ingresado, se genera un token de sesión. Si ese token es robado, el MFA ha servido para autenticar al atacante tanto como al usuario.

Es aquí donde el secuestro de sesiones se vuelve tan peligroso. Al reutilizar un token ya validado, el atacante elude los desafíos del MFA posterior porque, desde la perspectiva del proveedor de identidad, el usuario ya ha demostrado su identidad.

La Solución: Hacia la Resistencia al Phishing

Para contrarrestar esta amenaza, las organizaciones deben migrar urgentemente hacia métodos de autenticación resistentes al phishing. La clave es el estándar FIDO2/WebAuthn. A diferencia del MFA tradicional, las llaves de seguridad de hardware FIDO2 se basan en criptografía de clave pública y están vinculadas al dominio específico del servicio. Esto significa que si el usuario visita un sitio web falso (el proxy AitM), la llave de seguridad detectará la discrepancia en el dominio y se negará a firmar la solicitud de autenticación.

Estrategias de Defensa y Mitigación

La defensa contra Storm-2755 requiere una estrategia de seguridad de identidad profunda y proactiva. Las organizaciones deben considerar los siguientes pilares de protección:

1. Implementación de FIDO2 y Hardware Security Keys

La adopción de hardware FIDO2 (como las YubiKeys) elimina la posibilidad de que los atacantes capturen secretos reutilizables durante el proceso de autenticación inicial. Este es el paso más crítico para neutralizar los proxies AitM.

2. Reducción de la Vida Útil de los Tokens

Limitar la duración de las sesiones en aplicaciones críticas (financieras y de RRHH) es fundamental. Si una sesión expira en 8 o 10 horas, la ventana de oportunidad para que un atacante utilice un token robado se reduce drásticamente, obligándolo a intentar una nueva captura, lo que aumenta las probabilidades de detección.

3. Evaluación de Acceso Continuo (CAE)

Implementar políticas de Evaluación de Acceso Continuo permite a las plataformas de identidad revocar tokens de manera inmediata cuando detectan señales de riesgo (como un cambio inesperado en la ubicación IP o el agente de usuario, por ejemplo, cuando aparece el user-agent “Axios”).

4. Monitoreo y Detección Comportamental

Los equipos de seguridad (SOC) deben crear alertas específicas para comportamientos anómalos, tales como:

• Creación de reglas de bandeja de entrada que filtren términos financieros.
• Inicios de sesión con el user-agent “Axios”.
• Acceso no interactivo frecuente a aplicaciones críticas (como OfficeHome) en intervalos de 30 minutos.
• Cambios en la configuración de nómina o banca realizados desde direcciones IP inusuales.

Conclusión: El Futuro de la Extorsión Digital

Storm-2755 representa un cambio de paradigma que las organizaciones no pueden permitirse ignorar. La era de la extorsión ruidosa ha dado paso a la era de la infiltración silenciosa. Al enfocarse en el secuestro de sesiones en lugar de en la fuerza bruta, estos actores demuestran que la superficie de ataque se ha movido más allá de las credenciales, hacia la integridad misma de las sesiones activas en la nube.

La seguridad de la nómina de los empleados es ahora una cuestión de ciberseguridad avanzada. Es imperativo que los departamentos de TI y Recursos Humanos colaboren estrechamente para endurecer sus procesos, eliminando la dependencia de métodos de autenticación obsoletos y fortaleciendo sus capacidades de detección. El costo de no hacerlo no es solo una cifra en un balance contable; es la pérdida total de confianza de los empleados en la institución que los emplea.