El gobierno se enfrenta a nuevos llamamientos para que acelere la aprobación de la regulación legal para las empresas de procesamiento de nóminas, a raíz de una serie de ataques cibernéticos contra empresas paraguas que dejaron a miles de trabajadores en todo el Reino Unido luchando por pagar sus facturas.
Las empresas paraguas procesan la nómina de un gran número de contratistas que prestan sus servicios a través de una agencia de empleo a clientes finales en el sector público o privado.
Esto crea una cadena de suministro de mano de obra a través de la cual una suma de dinero pasará del cliente final a la agencia, y luego a la empresa paraguas y, finalmente, al contratista.
El Grupo de Reforma Fiscal de Bajos Ingresos dice que hay alrededor de 500 empresas paraguas en funcionamiento en todo el Reino Unido, que emplean al menos a 600.000 trabajadores independientes y contratistas en nombre de 40.000 agencias de empleo.
Es difícil decir con algún grado de precisión cuánto dinero pasa entre todas estas entidades durante un ciclo de día de pago típico de un contratista, pero ciertamente es una cantidad lo suficientemente importante como para haber captado la atención de la comunidad ciberdelincuente.
Varios de los jugadores más importantes de la industria paraguas (Giant Group, Parasol y Brookson Group) han sido objeto de ataques cibernéticos en los últimos meses, lo que ha causado una interrupción incalculable en los ciclos de pago de los miles de contratistas que emplean.
En los tres ataques, las empresas involucradas deshabilitaron proactivamente sus sistemas externos para contener el daño causado durante varios días, lo que retrasó los pagos de salarios a los contratistas y les dificultó el contacto directo con las empresas afectadas.
Si bien ninguna de estas empresas había confirmado, al momento de escribir este artículo, la naturaleza de los ataques cibernéticos que dañaron sus sistemas, los expertos en seguridad cibernética han sugerido en todos los casos que el ransomware puede haber estado involucrado.
Esto se basa en el tiempo que le tomó a cada empresa recuperarse de los ataques y volver a estar completamente operativa, así como la amplia gama de sistemas que se desconectaron durante los incidentes.
“Los paraguas que han sido atacados hasta ahora se encuentran entre los jugadores más importantes del mercado, y eso no es realmente sorprendente porque no tiene sentido atacar un paraguas más pequeño porque los atacantes simplemente no van a ganar dinero con él”, dijo una fuente. con un estrecho conocimiento práctico del mercado paraguas.
“El hecho de que hasta ahora se haya convertido en Giant, Parasol y Brookson significa que hay otras compañías que creo que observarán de cerca sus sistemas y tratarán de comprender qué sucedió y cómo pueden tratar de evitar convertirse en la próxima víctima porque hay todas las posibilidades de que esto vuelva a suceder”.
La fuente agregó: “Conozco empresas fuera de nuestro sector que han sido atacadas por ransomware que no tienen la complejidad de recibir y pagar nóminas de la misma manera que lo hacen los paraguas. Es solo una completa pesadilla porque simplemente borra y bloquea todos sus sistemas. No es una posición en la que ninguna empresa, y mucho menos un paraguas, quiera encontrarse”.
En ese punto, el Centro Nacional de Seguridad Cibernética (NCSC) dijo en su informe anual, en noviembre de 2021, que los ataques de ransomware ahora son la amenaza de seguridad cibernética más “inmediata” y “significativa” para las empresas del Reino Unido, con aumentos tanto en la escala como gravedad de los ataques en los últimos meses.
Ataques de imitación y robo de identidad
Además de los presuntos ataques de ransomware, la industria también ha sido blanco de estafadores que clonan empresas paraguas con la esperanza de obtener el pago de las agencias de empleo y los clientes finales.
En estos ataques, los perpetradores han tratado de infiltrarse y desviar fondos de la cadena de suministro de mano de obra del cliente final al contratista al imitar y tratar de hacerse pasar por empresas paraguas de buena reputación.
“Ese es un caldero de pescado completamente diferente al otro tipo de ataques que hemos visto recientemente dentro del sector paraguas, pero aún pueden tener enormes implicaciones financieras para las empresas a las que se dirigen”, dijo la fuente del mercado paraguas.
Todos estos tipos de ataques siguen un patrón similar, mediante el cual se registra una nueva empresa en Companies House que tiene un nombre similar al de una empresa paraguas existente, creando efectivamente un clon de esa empresa.
Las personas que trabajan para este clon se pondrán en contacto con las agencias de empleo y los clientes finales y tratarán de hacerse pasar por trabajar para la empresa que están imitando.
Por lo general, este contacto incluirá una notificación de que la empresa paraguas que se está falsificando ha cambiado sus datos bancarios, y todas las facturas futuras deben pagarse en una nueva cuenta bancaria.
“Si la empresa imitadora logra engañar con éxito a una agencia de esta manera, eso podría resultar en la pérdida de los salarios de una semana completa, que se supone que deben pagarse a los contratistas”, dijo la fuente. “En lo que respecta a algunas de las grandes empresas paraguas, podríamos estar hablando de millones de libras que se están desvaneciendo”.
La Asociación de Servicios de Contratistas y Trabajadores Independientes (FCSA), que cuenta con miembros de Giant, Parasol y Brookson, emitió una advertencia en septiembre de 2021 a la cadena de suministro de mano de obra de contratistas extendida sobre el problema de los clones de la empresa. Esto fue después de que descubrió que al menos 10 de las empresas paraguas que componen su membresía habían sido víctimas de la práctica.
Después de este descubrimiento, la FCSA instó a las agencias de empleo a tener cuidado al recibir solicitudes de empresas paraguas sobre cambios en sus datos bancarios o de contacto.
“Aconsejamos a cualquier agencia que trate con cualquier empresa asociada, donde se transfiere dinero, que acuerde un protocolo de transferencia claro con su socio y que trate con cautela cualquier enfoque que indique que los arreglos bancarios se han modificado o las cuentas bancarias han cambiado y que los fondos ahora debería desviarse a esa cuenta”, dijo la FCSA en un comunicado en ese momento.
Bloqueos de datos y el impacto en los informes de HMRC
Ya sea debido a ataques de ransomware o clonación, cualquier incidente que afecte la capacidad de los paraguas para pagar a sus contratistas también puede causar problemas para estas empresas cuando se trata de cumplir con sus obligaciones legales de informar sus actividades de nómina a HM Revenue & Customs (HMRC). ).
Este informe se realiza a través del servicio PAYE Online, que es un portal en línea que se espera que los empleadores utilicen para enviar información de nómina a HMRC. No reportar estos datos puede resultar en que las empresas incurran en sanciones financieras, cuyo tamaño depende de la cantidad de empleados en su nómina.
Luego del ataque a Parasol en enero de 2022, por ejemplo, la compañía emitió una serie de actualizaciones por correo electrónico que decían que no podía ejecutar sus procesos normales de nómina, pero había introducido medidas de contingencia que significaban que podía pagar a los contratistas montos que estaban “en general en línea”. ” con lo que normalmente les pagaban.
“No se preocupe si su pago es más alto o más bajo de lo que esperaba”, dijo la compañía en un correo electrónico fechado el 20 de enero. “Una vez que nuestros sistemas estén completamente operativos y podamos ejecutar una nómina normal, haremos un ajuste por cualquier diferencia en el pago anticipado a lo que se habría pagado normalmente, en una nómina futura”.
Un contratista de Parasol, que habló con Computer Weekly bajo condición de anonimato, dijo que dado que la empresa aparentemente tiene que depender de conjeturas y suposiciones para determinar cuánto se les debe pagar a sus contratistas durante este período, es probable que haya lagunas en los datos de nómina. informa a HMRC.
Se sabe que Parasol emplea al menos a 13 000 trabajadores autónomos, y como muchos de ellos reciben salarios semanales, el contratista afirmó que la empresa tendrá una gran acumulación de datos de nómina para compartir con HMRC a raíz del ataque a sus sistemas.
“No veo cómo arreglarán esto sin revisar manualmente las decenas de miles de registros de todas esas semanas perdidas”, dijo el contratista.
Computer Weekly se puso en contacto con Parasol para obtener aclaraciones sobre cómo se dispuso a cumplir con sus obligaciones de informes de HMRC después de los ataques, pero en el momento de escribir este artículo, no se había recibido ninguna respuesta.
Mientras tanto, cuando Computer Weekly le preguntó cuáles podrían ser las posibles repercusiones para las empresas paraguas que no cumplen con sus obligaciones de presentación de informes, HMRC dijo que no puede comentar sobre los “contribuyentes identificables”, pero dijo que “adopta un enfoque comprensivo cada vez que los contribuyentes se encuentran incapaces de para cumplir con sus obligaciones por circunstancias imprevistas o excepcionales”.
Un portavoz de HMRC agregó: “Alentamos a los contribuyentes que se encuentran en estas situaciones a contactarnos directamente”.
Crawford Temple, CEO de Professional Passport, una empresa que brinda servicios de evaluación de cumplimiento a empresas paraguas, dijo que cualquier contratista preocupado por cómo se informan sus ganancias a raíz de los ataques debería abrir una cuenta personal de impuestos con HMRC.
“Si se registran para una cuenta de impuestos personales, básicamente lo que hace es mostrarles qué datos tiene HMRC sobre sus ganancias durante ese período del año fiscal”, dijo. “Recomendamos esto de todos modos para los trabajadores paraguas porque les ayuda a detectar si una empresa está haciendo algo en segundo plano que tal vez no debería”.
Ampliando este punto, Temple citó ejemplos en los que las empresas paraguas que no cumplen pueden involucrarse en comportamientos que dejan a los contratistas sin dinero, al hacer deducciones innecesarias de su salario, por ejemplo.
“Hay compañías paraguas que no cumplen y que enviarán un comprobante de pago que es perfectamente legítimo a un contratista, pero los datos de HMRC no guardan relación con lo que está en el comprobante de pago”, dijo.
“Al crear una cuenta personal de impuestos, pueden ver lo que se informa sobre sus ingresos y asegurarse de que coincida con las nóminas que han recibido. Es un control de respaldo para cualquiera”.
Renovados llamados a la regulación
Si bien existen soluciones alternativas para minimizar la interrupción y la angustia que estos ataques tienen en las empresas involucradas y sus empleados, los incidentes han provocado otra ronda de llamadas para que las empresas paraguas sean reguladas por ley.
Las secuelas del ataque cibernético de Giant Group en septiembre de 2021 hicieron que las partes interesadas contratantes pidieran al gobierno que acelere el proceso de introducción de una regulación legal para las empresas paraguas después de años de lento progreso en este punto.
En 2017, el gobierno aconsejó introducir una regulación legal para las empresas paraguas por parte del exdirector interino de cumplimiento del mercado laboral, Matthew Taylor, y ha sido objeto de repetidas críticas desde entonces por no cumplir con esta recomendación de manera oportuna.
En diciembre de 2021, HMRC, en colaboración con HM Treasury y el Departamento de Estrategia Comercial, Energética e Industrial (BEIS), anunció el lanzamiento de una consulta sobre cómo funciona el mercado paraguas. Este movimiento fue visto como una señal de que el gobierno estaba tomando medidas para regular las empresas paraguas.
Esta consulta se extenderá hasta febrero de 2022, lo que significa que la regulación seguirá estando lejana por un tiempo, pero los observadores de la industria paraguas opinan, dado que el mercado está siendo atacado cada vez más por los ciberdelincuentes, que se necesita más progreso con urgencia para proteger a los contratistas.
“El trabajo de la industria de las empresas paraguas es procesar las ganancias de las personas, por lo que un ataque cibernético a estas empresas tiene un impacto directo en los trabajadores de las empresas paraguas”, dijo Rebecca Seeley Harris, presidenta del Foro sobre el estado del empleo y coautora de un documento de política sobre regulación paraguas. “Por lo tanto, es increíble que la industria aún no esté regulada con tanto en juego.
“Aunque la regulación no detendrá un ataque cibernético, tendría sentido que se tomen ciertas medidas para salvaguardar las ganancias y también garantizar que estas empresas tengan sistemas activos de gestión de seguridad de la información, posiblemente incluso ISO 27001”.
Seeley Harris agregó: “La continuidad del negocio es vital, especialmente las comunicaciones con los trabajadores, por lo que estas son todas las áreas en las que debería centrarse la futura regulación. Con suerte, el [HMRC consultation] Se responderá bien a la solicitud de evidencia y el gobierno puede priorizar la regulación de la industria y la protección del trabajador”.
Se necesita urgente regulación
El Grupo de Acción de Cargos de Préstamo (LCAG), que se preocupa por hacer campaña contra la política actual de cargos por préstamos de remuneración encubierta del gobierno, también opina que se necesita con urgencia una regulación para proteger a los contratistas que trabajan a través de empresas paraguas.
“Es muy preocupante para todos los trabajadores autónomos que trabajan a través de empresas paraguas que varios hayan sufrido ataques cibernéticos, lo que ha provocado retrasos en los pagos y temores de filtraciones de datos”, dijo Steve Packham, portavoz de LCAG.
…