La operación ha impactado a cientos de organizaciones y miles de personas a través de anuncios maliciosos en Google y Bing Ads.

Se ha identificado una red internacional de ciberdelincuentes, conocida como Payroll Pirates, que utiliza campañas de publicidad maliciosa (malvertising) para robar credenciales, manipular nóminas y desviar fondos en empresas, según Check Point® Software Technologies Ltd. (NASDAQ: CHKP).

Esta operación, que ha estado activa durante un tiempo, ha aumentado su complejidad y alcance en noviembre de 2025, afectando a más de 200 portales empresariales y atrayendo a cientos de miles de personas. Inició con una ola de sitios de phishing que imitaban plataformas de nómina y recursos humanos, promocionándose a través de Google Ads para engañar a empleados y obtener sus credenciales, con el fin de redirigir sus salarios a cuentas controladas por los delincuentes.

La investigación mostró una infraestructura compuesta por varios grupos interconectados, cada uno con sus propios dominios y métodos de comunicación, pero todos utilizando las mismas herramientas y esquemas de ataque. Este patrón indica que estos actores pertenecen a una red unificada o adquieren recursos del mismo mercado clandestino.

A finales de 2023, la actividad parece haber disminuido, pero en junio de 2024, la red reanudó sus operaciones con una sofisticación aún mayor. Las páginas de phishing fueron rediseñadas con elementos dinámicos que evadían la autenticación multifactor (2FA), y los delincuentes utilizaban bots de Telegram para interactuar en tiempo real con las víctimas, solicitando códigos de verificación y respuestas de seguridad.

“Estamos ante una operación que combina ingeniería social avanzada con la automatización del malvertising”, explica Alejandro Botter, director técnico de Check Point Software Chile. “El uso de anuncios patrocinados y de dominios legítimos dificulta enormemente la detección por parte de filtros tradicionales. Es un claro ejemplo de cómo los ciberdelincuentes explotan la confianza del usuario para obtener beneficios económicos directos.”

Durante 2024 y 2025, la red amplió sus objetivos más allá del ámbito de las nóminas. Check Point Software y otras fuentes de inteligencia confirmaron tácticas similares en sectores como banca, aseguradoras, plataformas de inversión, comercio electrónico y salud. En septiembre de este año, la actividad incrementó considerablemente, lo que llevó a reabrir la investigación. Una brecha operativa permitió a los analistas de Check Point Software obtener visibilidad de la infraestructura de comando y control, identificando un único bot de Telegram que gestionaba las interacciones en múltiples canales: nóminas, cooperativas de crédito, beneficios sanitarios y plataformas de trading.

El análisis confirmó que no se trataba solo de un conjunto de herramientas coincidentes, sino de una red unificada coordinada por al menos cuatro administradores activos. Uno de ellos publicó videos desde la costa del mar Negro, cerca de Odesa (Ucrania), sugiriendo que parte de la operación se desarrolla en ese país.

Dos clústeres, un mismo objetivo

La red Payroll Pirates opera a través de dos clústeres principales con técnicas diferenciadas pero complementarias:

· Clúster 1: Google Ads + redirecciones encubiertas. Utiliza páginas “blancas” aparentemente inofensivas que superan las revisiones de anuncios y redirigen a sitios fraudulentos una vez activadas. Los dominios están alojados en proveedores de Kazajistán y Vietnam, registrados en grandes volúmenes.

· Clúster 2: Bing Ads + dominios antiguos. Está dirigido principalmente a instituciones financieras mediante anuncios en Microsoft Ads. Los dominios, activos durante meses, albergan decenas de páginas de phishing con URL aleatorias y utilizan servicios de ocultación que adaptan el contenido según el dispositivo y la ubicación del usuario.

Ambos clústeres comparten las mismas herramientas de phishing, con scripts dinámicos que se actualizan en tiempo real para eludir los mecanismos de autenticación. Además, los ciberdelincuentes gestionan sus campañas con cuentas publicitarias verificadas y conexiones desde direcciones IP residenciales en Estados Unidos, lo que aumenta su credibilidad ante los sistemas de control.

“La profesionalización de estas redes demuestra que los límites entre el fraude publicitario, el robo de credenciales y el espionaje financiero son cada vez más difusos”, añade Alejandro Botter. “Ya no hablamos de ciberataques aislados, sino de ecosistemas criminales que operan como verdaderas empresas digitales, con soporte técnico, canales de comunicación cifrados y procesos de mejora continua.”

El caso Payroll Pirates refleja la evolución del cibercrimen hacia modelos híbridos que combinan ingeniería social, automatización y servicios legítimos. Su éxito radica en la confianza del usuario y en la explotación de plataformas publicitarias globales.

Cómo protegerse

Check Point recomienda a las organizaciones y a los responsables de seguridad implementar medidas preventivas ante estas amenazas:

  • Supervisar activamente las redes publicitarias en busca de campañas sospechosas relacionadas con portales corporativos o financieros.
  • Implementar autenticación resistente al phishing para operaciones sensibles, como validaciones de nómina o transferencias.
  • Reportar anuncios o dominios fraudulentos a los proveedores correspondientes.
  • Utilizar cuentas trampa (honeypots) para recopilar información de inteligencia y detectar patrones de ataque.

La solución Check Point External Risk Management (ERM) permite detectar y neutralizar amenazas como Payroll Pirates antes de que causen daños. A través del monitoreo continuo de redes publicitarias, dominios, canales de Telegram y credenciales comprometidas, ERM ofrece una visibilidad completa sobre las campañas activas y su infraestructura, relacionando indicadores para interrumpir operaciones y proteger a las organizaciones frente al fraude y robo de información.

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, que protege a más de 100,000 empresas a nivel mundial. Check Point Software utiliza la inteligencia artificial en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva ante amenazas y tiempos de respuesta más rápidos e inteligentes. Su plataforma integral incluye soluciones en la nube, como Check Point Harmony para proteger el entorno laboral, Check Point CloudGuard para asegurar la nube, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.

Con Información de revistaseguridad.cl