{"id":151,"date":"2026-03-05T09:11:11","date_gmt":"2026-03-05T09:11:11","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/05\/la-operacion-dirigida-por-europol-acaba-con-el-phishing-como-servicio-del-magnate-2fa-vinculado-a-64-000-ataques-cyberdefensa-mx\/"},"modified":"2026-03-05T09:11:11","modified_gmt":"2026-03-05T09:11:11","slug":"la-operacion-dirigida-por-europol-acaba-con-el-phishing-como-servicio-del-magnate-2fa-vinculado-a-64-000-ataques-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/05\/la-operacion-dirigida-por-europol-acaba-con-el-phishing-como-servicio-del-magnate-2fa-vinculado-a-64-000-ataques-cyberdefensa-mx\/","title":{"rendered":"La operaci\u00f3n dirigida por Europol acaba con el phishing como servicio del magnate 2FA vinculado a 64.000 ataques \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

magnate 2FA<\/strong>uno de los destacados kits de herramientas de phishing como servicio (PhaaS) que permit\u00eda a los ciberdelincuentes realizar ataques de recolecci\u00f3n de credenciales de adversario en el medio (AitM) a escala, fue desmantelado por una coalici\u00f3n de agencias de aplicaci\u00f3n de la ley y empresas de seguridad.<\/p>\n

El kit de phishing basado en suscripci\u00f3n<\/a>cual surgi\u00f3 por primera vez en agosto de 2023<\/a>fue descrita por Europol como una de las operaciones de phishing m\u00e1s grandes del mundo. El kit estaba disponible por un precio inicial de 120 d\u00f3lares por 10 d\u00edas o 350 d\u00f3lares por acceso a un panel de administraci\u00f3n basado en web durante un mes.<\/p>\n

El panel sirve como centro para configurar, rastrear y perfeccionar campa\u00f1as. Cuenta con plantillas predise\u00f1adas, archivos adjuntos para formatos de se\u00f1uelos comunes, configuraci\u00f3n de dominio y alojamiento, l\u00f3gica de redireccionamiento y seguimiento de v\u00edctimas. Los operadores tambi\u00e9n pueden configurar c\u00f3mo se entrega el contenido malicioso a trav\u00e9s de archivos adjuntos, as\u00ed como controlar los intentos de inicio de sesi\u00f3n v\u00e1lidos e inv\u00e1lidos.<\/p>\n

La informaci\u00f3n capturada, como credenciales, c\u00f3digos de autenticaci\u00f3n multifactor (MFA) y cookies de sesi\u00f3n, se puede descargar directamente dentro del panel o reenviar a Telegram para un monitoreo casi en tiempo real.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abPermiti\u00f3 a miles de ciberdelincuentes acceder de forma encubierta al correo electr\u00f3nico y a cuentas de servicios basados \u200b\u200ben la nube\u00bb, Europol dicho<\/a>. \u00abA escala, la plataforma gener\u00f3 decenas de millones de correos electr\u00f3nicos de phishing cada mes y facilit\u00f3 el acceso no autorizado a casi 100.000 organizaciones en todo el mundo, incluidas escuelas, hospitales e instituciones p\u00fablicas\u00bb.<\/p>\n

Como parte del esfuerzo coordinado, se eliminaron 330 dominios que formaban la columna vertebral del servicio criminal, incluidas p\u00e1ginas de phishing y paneles de control.<\/p>\n

Al caracterizar a Tycoon 2FA como \u00abpeligroso\u00bb, Intel 471 dicho<\/a> el kit estaba vinculado a m\u00e1s de 64.000 incidentes de phishing y decenas de miles de dominios, generando decenas de millones de correos electr\u00f3nicos de phishing cada mes. Seg\u00fan Microsoft, que rastrea a los operadores del servicio bajo el nombre Storm-1747, Tycoon 2FA se convirti\u00f3 en la plataforma m\u00e1s prol\u00edfica observada por la compa\u00f1\u00eda en 2025, bloqueando m\u00e1s de 13 millones de correos electr\u00f3nicos maliciosos vinculados al servicio de crimeware.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Cronolog\u00eda de la evoluci\u00f3n de Tycoon 2FA (Fuente: Point Wild)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Datos de Proofpoint muestra<\/a> que Tycoon 2FA represent\u00f3 el mayor volumen de amenazas de phishing AiTM. La empresa de seguridad del correo electr\u00f3nico dijo que observ\u00f3 m\u00e1s de tres millones de mensajes asociados con el kit de phishing s\u00f3lo en febrero de 2026. Trend Micro, que fue uno de los socios del sector privado en la operaci\u00f3n, not\u00f3 que<\/a> la plataforma PhaaS ten\u00eda aproximadamente 2.000 usuarios.<\/p>\n

Las campa\u00f1as que aprovechan Tycoon 2FA se han dirigido indiscriminadamente a casi todos los sectores, incluidos la educaci\u00f3n, la atenci\u00f3n m\u00e9dica, las finanzas, las organizaciones sin fines de lucro y el gobierno. Los correos electr\u00f3nicos de phishing enviados desde el kit llegaron a m\u00e1s de 500.000 organizaciones cada mes en todo el mundo. <\/p>\n

\"\"<\/a><\/div>\n

\u00abLa plataforma de Tycoon 2FA permiti\u00f3 a los actores de amenazas hacerse pasar por marcas confiables imitando p\u00e1ginas de inicio de sesi\u00f3n para servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail\u00bb, Microsoft dicho<\/a>. <\/p>\n

\u00abTambi\u00e9n permiti\u00f3 a los actores de amenazas que usaban su servicio establecer persistencia y acceder a informaci\u00f3n confidencial incluso despu\u00e9s de restablecer las contrase\u00f1as, a menos que las sesiones activas y los tokens fueran revocados expl\u00edcitamente. Esto funcion\u00f3 interceptando las cookies de sesi\u00f3n generadas durante el proceso de autenticaci\u00f3n, capturando simult\u00e1neamente las credenciales del usuario. Los c\u00f3digos MFA se transmitieron posteriormente a trav\u00e9s de los servidores proxy de Tycoon 2FA al servicio de autenticaci\u00f3n\u00bb.<\/p>\n

El kit tambi\u00e9n emple\u00f3 t\u00e9cnicas como monitoreo de pulsaciones de teclas, detecci\u00f3n anti-bot, toma de huellas digitales del navegador, ofuscaci\u00f3n de c\u00f3digo pesado, CAPTCHA autohospedados, JavaScript personalizado y p\u00e1ginas se\u00f1uelo din\u00e1micas para eludir los esfuerzos de detecci\u00f3n. Otro aspecto clave es el uso de una combinaci\u00f3n m\u00e1s amplia de dominios de nivel superior (TLD) y nombres de dominio completos (FQDN) de corta duraci\u00f3n para alojar la infraestructura de phishing en Cloudflare.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Los FQDN a menudo solo duran entre 24 y 72 horas, y su r\u00e1pida rotaci\u00f3n es un esfuerzo deliberado para complicar la detecci\u00f3n e impedir la creaci\u00f3n de listas de bloqueo confiables. Microsoft tambi\u00e9n atribuy\u00f3 el \u00e9xito de Tycoon 2FA a imitar fielmente los procesos de autenticaci\u00f3n leg\u00edtimos para interceptar sigilosamente las credenciales de usuario y los tokens de sesi\u00f3n.<\/p>\n

Para empeorar las cosas, los clientes de Tycoon 2FA aprovecharon una t\u00e9cnica llamada ATO Jumping, mediante la cual se utiliza una cuenta de correo electr\u00f3nico comprometida para distribuir las URL de Tycoon 2FA e intentar realizar m\u00e1s actividades de apropiaci\u00f3n de cuentas. \u00abEl uso de esta t\u00e9cnica permite que los correos electr\u00f3nicos parezcan provenir aut\u00e9nticamente del contacto de confianza de la v\u00edctima, lo que aumenta la probabilidad de un compromiso exitoso\u00bb, se\u00f1al\u00f3 Proofpoint.<\/p>\n

Kits de phishing<\/a> como Tycoon est\u00e1n dise\u00f1ados para ser flexibles, de modo que sean accesibles para actores con menos conocimientos t\u00e9cnicos y, al mismo tiempo, ofrezcan capacidades avanzadas para operadores m\u00e1s experimentados.<\/p>\n

\u00abEn 2025, el 99% de las organizaciones experimentaron intentos de apropiaci\u00f3n de cuentas y el 67% experiment\u00f3 una apropiaci\u00f3n de cuentas exitosa\u00bb, dijo Selena Larson, investigadora de amenazas del personal de Proofpoint, en un comunicado compartido con The Hacker News. \u00abDe estas, el 59% de las cuentas tomadas ten\u00edan habilitado MFA. Si bien no todos estos ataques estaban relacionados con Tycoon MFA, esto muestra el impacto del phishing AiTM en las empresas\u00bb.<\/p>\n

\u00abEstos ciberataques que permiten la apropiaci\u00f3n total de cuentas pueden provocar impactos desastrosos, incluido el ransomware o la p\u00e9rdida de datos confidenciales. A medida que los actores de amenazas contin\u00faan priorizando la identidad, obtener acceso a cuentas de correo electr\u00f3nico empresariales suele ser el primer paso en una cadena de ataques que puede tener consecuencias destructivas\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

magnate 2FAuno de los destacados kits de herramientas de phishing como servicio (PhaaS) que permit\u00eda a los ciberdelincuentes realizar ataques de recolecci\u00f3n de credenciales de adversario en el medio (AitM) a escala, fue desmantelado por una coalici\u00f3n de agencias de aplicaci\u00f3n de la ley y empresas de seguridad. El kit de phishing basado en suscripci\u00f3ncual […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[460,463,233,86,31,24,70,462,171,465,461,365,127,464,242],"class_list":["post-151","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-2fa","tag-acaba","tag-ataques","tag-como","tag-con","tag-cyberdefensa-mx","tag-del","tag-dirigida","tag-europol","tag-magnate","tag-operacion","tag-phishing","tag-por","tag-servicio","tag-vinculado"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=151"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/151\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}