La publicidad online, pensada para conectar usuarios con productos y servicios confiables, se ha convertido en el arma predilecta de una nueva generación de ciberdelincuentes. Check Point® Software Technologies reveló la existencia de Payroll Pirates, una red internacional que desde 2023 utiliza anuncios fraudulentos para robar credenciales, manipular nóminas y desviar fondos en organizaciones de Estados Unidos y otros países. El alcance de la operación es inquietante: más de 200 portales empresariales comprometidos y al menos medio millón de usuarios expuestos.
Lo que comenzó como una oleada de sitios de phishing disfrazados de plataformas de nómina y recursos humanos, detectada en mayo de 2023, terminó evolucionando en una infraestructura criminal compleja, distribuida en múltiples grupos interconectados. Todos ellos compartían herramientas, plantillas y canales de comunicación, lo que permitió a los investigadores concluir que se trataba de una red articulada —o, como mínimo, de actores abastecidos por el mismo mercado clandestino.
La actividad pareció apagarse hacia finales de 2023, pero en junio de 2024 los Payroll Pirates regresaron con una versión más sofisticada de su táctica. Las páginas fraudulentas incorporaban elementos dinámicos para burlar la autenticación multifactor, y los atacantes utilizaban bots de Telegram para interactuar en tiempo real con las víctimas, solicitándoles códigos y respuestas adicionales.
“Estamos ante una operación que combina ingeniería social avanzada y la automatización propia del malvertising”, explica Ángel Salazar, gerente de Ingeniería de Canales en América Latina de Check Point Software. Según él, los anuncios patrocinados y el uso de dominios legítimos complican enormemente la detección. “Es un ejemplo claro de cómo los ciberdelincuentes explotan la confianza del usuario para obtener beneficios económicos directos”.
El grupo amplió su espectro durante 2024 y 2025. Además del fraude de nóminas, Check Point y otras fuentes de inteligencia detectaron campañas similares contra servicios bancarios, aseguradoras, plataformas de inversión, comercio electrónico y entidades del sector salud. Y en septiembre de este año, una nueva escalada de actividad permitió a los investigadores acceder a la infraestructura de mando y control de la operación. Allí encontraron un hallazgo clave: un único bot de Telegram coordinaba todos los canales, desde nóminas hasta cooperativas de crédito y plataformas de trading. La red estaba administrada por al menos cuatro operadores, uno de los cuales publicó videos grabados cerca de Odesa, en la costa del mar Negro, lo que situó parte de la operación en esa región.
Dos clústeres, un mismo propósito
La estructura operativa de los Payroll Pirates está dividida en dos clústeres con métodos complementarios:
- Clúster 1: campañas en Google Ads apoyadas en páginas “blancas” que superan las verificaciones iniciales y luego redirigen a sitios maliciosos. Los dominios, registrados en grandes volúmenes, se alojan en proveedores de Kazajistán y Vietnam.
- Clúster 2: anuncios en Bing (Microsoft Ads) dirigidos especialmente a instituciones financieras. Utiliza dominios envejecidos —activos durante meses— que alojan decenas de páginas de phishing con URL generadas al azar, además de mecanismos de ocultación que personalizan el contenido según el dispositivo o ubicación del usuario.
Ambos clústeres comparten los mismos kits de phishing, actualizados en tiempo real para evadir controles de autenticación. Las campañas se gestionan con cuentas verificadas de publicidad y conexiones desde direcciones IP residenciales en Estados Unidos, aumentando la apariencia de legitimidad.
“La profesionalización de este tipo de redes demuestra que los límites entre fraude publicitario, robo de credenciales y espionaje financiero son cada vez más difusos”, añade Salazar. Los Payroll Pirates ya no operan como atacantes aislados, sino como ecosistemas criminales altamente estructurados, con soporte técnico, procesos de mejora continua y comunicaciones cifradas.
Cómo protegerse de una amenaza que crece
Check Point recomienda a las organizaciones reforzar su postura de seguridad adoptando medidas preventivas como:
- Supervisar de forma activa las redes de anuncios en busca de campañas sospechosas.
- Implementar autenticación resistente al phishing en procesos críticos como nóminas y transferencias.
- Reportar anuncios y dominios fraudulentos a los proveedores correspondientes.
- Utilizar cuentas trampa (honeypots) para recolectar inteligencia y detectar patrones de ataque.
Para enfrentar amenazas de esta escala, Check Point ofrece External Risk Management (ERM), una solución que monitoriza continuamente redes publicitarias, dominios, canales de Telegram y credenciales filtradas. ERM relaciona señales, identifica campañas activas y permite interrumpir operaciones antes de que se produzcan filtraciones o desvíos de fondos.
El caso Payroll Pirates confirma una tendencia preocupante: el cibercrimen avanza hacia modelos híbridos y altamente especializados, apoyados en la confianza del usuario y en la infraestructura publicitaria global. Un recordatorio de que, en el mundo digital, incluso los clics más cotidianos pueden convertirse en la puerta de entrada a un fraude millonario.
