La plataforma de phishing como servicio (Phishing-as-a-Service, PhaaS) Tycoon2FA, cuyo desmantelamiento anunció Europol a comienzos de marzo, ha recuperado prácticamente por completo su actividad. Pese a la incautación masiva de dominios y a la implicación de grandes tecnológicas, los operadores lograron restablecer su infraestructura en pocos días y volver a niveles de campaña similares a los registrados a principios de año.
Tycoon2FA y el modelo de phishing como servicio (PhaaS)
Tycoon2FA se enmarca en el creciente ecosistema de PhaaS, donde ciberdelincuentes alquilan infraestructuras completas de phishing listas para usar. Los clientes del servicio no necesitan grandes conocimientos técnicos: pagan una cuota y obtienen plantillas de páginas fraudulentas, paneles de control, alojamiento y herramientas de automatización.
Los objetivos prioritarios de Tycoon2FA son cuentas en la nube de Microsoft 365 y Gmail, muy extendidas en entornos corporativos y, por tanto, de alto valor para ataques posteriores de robo de datos, fraude financiero o espionaje corporativo.
Operación de Europol: impacto real sobre la infraestructura de Tycoon2FA
La operación coordinada por Europol, con apoyo técnico de Microsoft y la participación de fuerzas de seguridad de Letonia, Lituania, Portugal, Polonia, España y Reino Unido, se centró en desestabilizar la infraestructura de Tycoon2FA. En total se incautaron 330 dominios utilizados como paneles de administración, páginas de phishing y otros componentes críticos del servicio.
Según datos analizados por CrowdStrike, el volumen de envíos de Tycoon2FA cayó los días 4 y 5 de marzo hasta alrededor de un 25 % de su nivel habitual. Sin embargo, en menos de una semana la actividad volvió a cifras comparables a las de principios de año, lo que evidencia la resiliencia de las plataformas PhaaS frente a golpes puramente infraestructurales.
Tácticas de ataque: AitM, BEC y abuso de servicios en la nube
Adversary-in-the-middle y salto sobre la autenticación multifactor
El rasgo técnico más relevante de Tycoon2FA es el uso de la técnica adversary-in-the-middle (AitM). En lugar de limitarse a copiar una web de login, la plataforma actúa como un proxy entre la víctima y el servicio legítimo. El usuario ve una página prácticamente idéntica a la original, introduce sus credenciales y completa, si existe, la autenticación multifactor (MFA).
Durante ese proceso, Tycoon2FA:
– captura usuario y contraseña;
– intercepta las cookies de sesión generadas tras un login correcto;
– permite a los atacantes eludir la MFA, ya que acceden a la cuenta con una sesión válida, como si fueran el propio usuario.
Microsoft ha señalado que, en su pico de actividad, Tycoon2FA llegó a generar unos 30 millones de correos de phishing al mes y estuvo vinculado a aproximadamente el 62 % de los mensajes de phishing bloqueados por sus sistemas, lo que la sitúa entre las plataformas de phishing más influyentes del panorama actual.
Campañas BEC, secuestro de hilos y uso de SharePoint
Los datos de CrowdStrike indican que, tras la operación de Europol, la táctica general de Tycoon2FA apenas ha variado. La plataforma sigue empleándose para:
– comprometer cuentas en la nube;
– lanzar ataques de Business Email Compromise (BEC), aprovechando buzones legítimos para dirigir fraudes financieros;
– realizar thread hijacking o secuestro de hilos, respondiendo dentro de conversaciones existentes para aumentar la credibilidad;
– distribuir enlaces maliciosos mediante SharePoint y otros servicios colaborativos.
En las campañas más recientes destaca el uso de:
– acortadores de URL para ocultar dominios sospechosos;
– abuso de servicios legítimos (plataformas de presentaciones, compartición de documentos, etc.);
– dominios comprometidos, que dificultan el filtrado basado en reputación;
– contenido generado con IA para crear páginas de phishing más verosímiles y difíciles de detectar visualmente.
Por qué Tycoon2FA se recuperó tan rápido y qué implica para las empresas
CrowdStrike subraya que parte de la infraestructura de Tycoon2FA no se vio afectada y continuó operando durante toda la operación. Paralelamente, los operadores registraron rápidamente nuevos dominios e IPs para sustituir los recursos perdidos. En la práctica, la incautación de 330 dominios supuso un impacto parcial y temporal.
Este caso pone de relieve una limitación clave en la lucha contra el PhaaS: mientras no se produzcan detenciones de los responsables y decomiso físico de servidores, los grupos pueden reconstruir su infraestructura gracias a la automatización del registro de dominios, el alojamiento distribuido y métodos de pago anónimos. Mientras haya demanda de servicios de phishing, el incentivo económico para mantener este tipo de plataformas seguirá siendo elevado.
Para las organizaciones, el mensaje es claro: ni siquiera las operaciones internacionales de gran escala sustituyen a una estrategia interna sólida de ciberseguridad. La adopción de métodos de autenticación resistentes al phishing (como llaves FIDO2 y WebAuthn), políticas estrictas de acceso a servicios en la nube, monitorización continua de actividad anómala, formación recurrente en reconocimiento de phishing y verificación manual de enlaces y solicitudes de pago son medidas esenciales. Cuanto más difícil resulte monetizar compromisos de cuentas corporativas, menos rentable será el modelo de negocio de plataformas como Tycoon2FA y mayor será el impacto real de las acciones coordinadas entre empresas y fuerzas de seguridad.
