{"id":149,"date":"2026-03-04T23:18:47","date_gmt":"2026-03-04T23:18:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/04\/la-coalicion-global-desmantela-el-kit-de-phishing-tycoon-2fa\/"},"modified":"2026-03-04T23:18:47","modified_gmt":"2026-03-04T23:18:47","slug":"la-coalicion-global-desmantela-el-kit-de-phishing-tycoon-2fa","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/04\/la-coalicion-global-desmantela-el-kit-de-phishing-tycoon-2fa\/","title":{"rendered":"La coalici\u00f3n global desmantela el kit de phishing Tycoon 2FA"},"content":{"rendered":"
\n

Tycoon 2FA, un importante kit y plataforma de phishing que permiti\u00f3 a ciberdelincuentes poco capacitados eludir la autenticaci\u00f3n multifactor y realizar ataques de adversario en el medio a gran escala, fue desmantelado el mi\u00e9rcoles por una coalici\u00f3n global<\/a> de empresas de seguridad y organismos encargados de hacer cumplir la ley.<\/p>\n

Microsoft, que lider\u00f3 el esfuerzo junto con Europol y autoridades de seis pa\u00edses y 11 empresas u organizaciones de seguridad, dijo que confisc\u00f3 330 dominios que impulsaban la infraestructura central de Tycoon 2FA, incluidos paneles de control y p\u00e1ginas de inicio de sesi\u00f3n fraudulentas.<\/p>\n

La plataforma, que surgi\u00f3 en agosto de 2023, fue responsable de decenas de millones de mensajes de phishing<\/a> que lleg\u00f3 a m\u00e1s de 500.000 organizaciones en todo el mundo cada mes, seg\u00fan Microsoft Threat Intelligence. Miles de ciberdelincuentes utilizaron Tycoon 2FA para acceder al correo electr\u00f3nico y a los servicios en l\u00ednea, incluidos Microsoft 365, Outlook, SharePoint, OneDrive y los servicios de Google.<\/p>\n

\u00abA mediados de 2025, Tycoon 2FA represent\u00f3 aproximadamente el 62% de todos los intentos de phishing que Microsoft bloque\u00f3, incluidos m\u00e1s de 30 millones de correos electr\u00f3nicos en un solo mes. Eso coloc\u00f3 a Tycoon 2FA entre las operaciones de phishing m\u00e1s grandes del mundo\u00bb, dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, en un publicaci\u00f3n de blog<\/a> sobre el derribo. <\/p>\n

\u201cA pesar de las amplias defensas, el servicio est\u00e1 vinculado a unas 96.000 v\u00edctimas de phishing distintas en todo el mundo desde 2023, incluidos m\u00e1s de 55.000 clientes de Microsoft\u201d, a\u00f1adi\u00f3 Masada. <\/p>\n

El kit de phishing, que fue desarrollado y publicitado por un grupo al que Microsoft rastrea como Storm-1747, se vendi\u00f3 a ciberdelincuentes en Telegram y Signal por 350 d\u00f3lares al mes. La plataforma proporcion\u00f3 componentes centrales para el phishing en un \u00fanico panel que permiti\u00f3 a los ciberdelincuentes configurar, rastrear y perfeccionar sus campa\u00f1as.<\/p>\n

La plataforma tambi\u00e9n proporcion\u00f3 a los ciberdelincuentes plantillas predise\u00f1adas, archivos adjuntos para se\u00f1uelos de phishing comunes, configuraci\u00f3n de dominio y alojamiento y l\u00f3gica de redireccionamiento, dijo Microsoft. El volumen mensual de mensajes de phishing atribuidos a Tycoon 2FA alcanz\u00f3 un m\u00e1ximo de m\u00e1s de 30 millones de mensajes en noviembre de 2025.<\/p>\n

Las organizaciones de educaci\u00f3n y atenci\u00f3n m\u00e9dica fueron las m\u00e1s afectadas por los ataques de phishing habilitados por Tycoon 2FA. M\u00e1s de 100 miembros de Salud-ISAC, co-demandante en el caso judicial<\/a> presentadas en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York, fueron suplantadas con \u00e9xito, dijo Masada. <\/p>\n

Dos hospitales, seis escuelas y tres universidades de Nueva York enfrentaron intentos o compromisos exitosos a trav\u00e9s de Tycoon 2FA, lo que result\u00f3 en incidentes que interrumpieron las operaciones, desviaron recursos y retrasaron la atenci\u00f3n de los pacientes, a\u00f1adi\u00f3. <\/p>\n

Microsoft y Health-ISAC presentaron una denuncia civil<\/a> contra el presunto creador Saad Fridi y cuatro asociados an\u00f3nimos, exigiendo una orden judicial de 10 millones de d\u00f3lares por desarrollar, ejecutar y vender Tycoon 2FA. La orden judicial permiti\u00f3 a Microsoft desmantelar y tomar posesi\u00f3n de la infraestructura t\u00e9cnica de Tycoon 2FA.<\/p>\n

Autoridades de Letonia, Lituania, Portugal, Polonia, Espa\u00f1a y el Reino Unido ayudaron en la operaci\u00f3n junto con Cloudflare, Coinbase, Crowell & Moring, eSentire, Intel 471, Proofpoint, Resecurity, Shadowserver, SpyCloud y Trend Micro. <\/p>\n

Selena Larson, investigadora de amenazas del personal de Proofpoint que proporcion\u00f3 un declaraci\u00f3n formal en apoyo de la orden judicial<\/a>dijo que Tycoon 2FA fue responsable del mayor volumen de ataques de phishing de adversario en el medio observados por Proofpoint. <\/p>\n

\u00abTycoon fue la mayor amenaza de phishing de MFA en nuestros datos y anticipamos ver una disminuci\u00f3n significativa despu\u00e9s de esta operaci\u00f3n\u00bb, dijo a CyberScoop.<\/p>\n

\u00abMuchos clientes encontrar\u00e1n que su herramienta de pirater\u00eda ya no funciona, e incluso si Tycoon 2FA es capaz de crear nuevos dominios e infraestructura, la marca se ver\u00e1 significativamente perjudicada, y los clientes comprar\u00e1n un kit de phishing menos eficaz o potencialmente repensar\u00e1n sus elecciones de vida y saldr\u00e1n del juego\u00bb, a\u00f1adi\u00f3 Larson.<\/p>\n

Las capacidades robustas y f\u00e1ciles de usar de Tycoon 2FA contribuyeron a su popularidad, dijeron los investigadores. El c\u00f3digo base de la plataforma se actualizaba peri\u00f3dicamente y los operadores generaban un gran volumen de subdominios durante breves per\u00edodos antes de abandonarlos y pasar a nuevos dominios.<\/p>\n

Los investigadores dijeron que la r\u00e1pida rotaci\u00f3n y los cambios a infraestructura temporal complicaron los esfuerzos para detectar y bloquear nuevas campa\u00f1as.<\/p>\n

La eliminaci\u00f3n de Tycoon 2FA se produce tras una reciente ola de medidas en\u00e9rgicas contra los delitos cibern\u00e9ticos, incluidas acciones contra Racoon0365 y la operaci\u00f3n de robo de informaci\u00f3n Lumma Stealer, que infect\u00f3 alrededor de 10 millones de sistemas.<\/p>\n