Una operación internacional coordinada por Europol ha desarticulado buena parte de la infraestructura de Tycoon2FA, una de las plataformas de phishing-as-a-service (PhaaS) más activas a nivel mundial y especializada en el bypass de la autenticación multifactor (MFA). En el operativo se interrumpió el servicio y se incautaron 330 dominios, entre ellos paneles de control para operadores y páginas de phishing utilizadas en campañas masivas.
Operación internacional contra Tycoon2FA y papel de Europol, Microsoft y socios privados
La coordinación técnica de la operación corrió a cargo de Microsoft, que movilizó a sus equipos de respuesta a incidentes y a una red de socios privados. Las labores de incautación de la infraestructura de Tycoon2FA fueron ejecutadas por fuerzas del orden de Letonia, Lituania, Portugal, Polonia, España y Reino Unido, reflejando el carácter transnacional de este tipo de servicios criminales.
La investigación se inició tras la entrega a Europol de información preliminar sobre la infraestructura y actividad de la plataforma por parte de especialistas de Trend Micro. Posteriormente se incorporó un amplio ecosistema de empresas y organizaciones sin ánimo de lucro, entre ellas Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire y Resecurity. Este modelo de colaboración público‑privada, basado en el intercambio automatizado de indicadores de compromiso y en una cooperación jurídica ágil, se ha consolidado como clave en la lucha contra las plataformas de phishing-as-a-service.
Qué es Tycoon2FA: una plataforma de phishing-as-a-service para evadir MFA
Tycoon2FA (operada por el grupo conocido como Storm‑1747) estuvo activa al menos desde agosto de 2023. Ofrecía a los atacantes un paquete completo para campañas de phishing, desde plantillas y dominios hasta infraestructura de proxy para el robo de sesiones. Según datos publicados por Microsoft, hacia mediados de 2025 la plataforma generaba decenas de millones de correos de phishing al mes, dirigidos a más de 500 000 organizaciones en todo el mundo.
Se estima que casi 100 000 organizaciones, incluidas entidades gubernamentales, centros educativos y sanitarios, sufrieron ataques vinculados a Tycoon2FA. La suscripción al servicio se comercializaba a través de Telegram por unos 120 dólares por 10 días de acceso. Este bajo coste y la sencillez de uso reducían drásticamente la barrera de entrada, permitiendo que incluso actores con escasa preparación técnica lanzaran campañas de phishing avanzadas capaces de evadir MFA.
Ataques adversary-in-the-middle (AitM) y evasión de la autenticación multifactor
Cómo funciona Tycoon2FA: reverse proxy, robo de credenciales y secuestro de sesión
Desde el punto de vista técnico, Tycoon2FA operaba como una plataforma adversary‑in‑the‑middle (AitM). Utilizaba reverse proxy para interceptar de forma transparente las credenciales y las cookies de sesión de las víctimas en tiempo real. Los operadores desplegaban páginas de phishing que imitaban con gran fidelidad los portales de inicio de sesión de Microsoft 365, OneDrive, Outlook, SharePoint y Gmail, entre otros servicios de Microsoft y Google.
Cuando el usuario introducía su nombre de usuario, contraseña y código de autenticación multifactor, estos datos eran reenviados al servicio legítimo de autenticación a través de la infraestructura de Tycoon2FA. Para la víctima el inicio de sesión parecía legítimo, pero el atacante obtenía acceso a una sesión ya autenticada, anulando en la práctica la protección de la MFA. En muchos casos, las cookies y tokens interceptados seguían siendo válidos incluso tras un cambio de contraseña, hasta que el administrador o el propio usuario revocaban activamente las sesiones y tokens.
Límites de la MFA tradicional y necesidad de MFA resistente al phishing
El caso Tycoon2FA ilustra las limitaciones de la MFA basada en códigos de un solo uso (OTP) o notificaciones push. En un ataque AitM, el código de segundo factor no se roba para usarlo más tarde, sino que se retanasmite en tiempo real al servicio legítimo a través del proxy. El sistema valida correctamente la MFA, pero el resultado es una sesión bajo control del atacante.
Informes de referencia como el Verizon Data Breach Investigations Report (DBIR) y las recomendaciones de organismos como NIST y ENISA insisten en la adopción de MFA resistente al phishing, basada en estándares como FIDO2/WebAuthn y en llaves de seguridad hardware o passkeys. Estos métodos vinculan criptográficamente el factor de autenticación al dominio legítimo, lo que dificulta que un proxy AitM pueda reutilizar credenciales o tokens.
Lecciones para las organizaciones: cómo reforzar cuentas y MFA frente al modelo PhaaS
El volumen de ataques atribuidos a Tycoon2FA —hasta el 60 % de todos los intentos de phishing bloqueados en la ecosistema monitorizado por Microsoft— demuestra la madurez del mercado de phishing-as-a-service. Estas plataformas eliminan tanto la barrera técnica como la económica para el ciberdelito, lo que afecta especialmente a pymes que confían únicamente en filtros de correo y en una MFA básica.
Ante este escenario, resulta crítico revisar la arquitectura de protección de identidades y cuentas. Entre las medidas recomendadas destacan: desplegar MFA resistente al phishing (llaves físicas y passkeys), reducir la duración de las sesiones, aplicar políticas estrictas de revocación de tokens y utilizar acceso condicional (validación de dispositivo, ubicación, nivel de riesgo, etc.). Complementariamente, es esencial contar con filtros avanzados de correo y web, validar dominios y registros DMARC, SPF y DKIM, y monitorizar actividades de inicio de sesión anómalas, como viajes imposibles o dispositivos inusuales.
La caída de Tycoon2FA supone un avance importante en la lucha contra las plataformas de phishing‑as‑a‑service, pero no implica el fin del modelo PhaaS. Otros servicios surgirán, más adaptados y sofisticados. Para reducir su exposición, las organizaciones deberían auditar periódicamente sus mecanismos de autenticación, invertir en la formación de los empleados frente al phishing e incorporar gradualmente métodos de MFA resistentes al phishing. Tratar las ataques AitM como una amenaza cotidiana, y no como un escenario excepcional, es hoy una condición necesaria para mantener bajo control el riesgo de compromiso de cuentas en futuras oleadas de campañas de phishing-as-a-service.
