Una coalición internacional de fuerzas de seguridad y empresas de ciberseguridad ha anunciado el desmantelamiento de Tycoon 2FA, una de las mayores plataformas de phishing-as-a-service (PhaaS) del mundo. Este servicio industrializaba los ataques de tipo Adversary-in-the-Middle (AitM) para eludir la autenticación multifactor (MFA), permitiendo a miles de delincuentes robar credenciales y cookies de sesión sin necesidad de conocimientos técnicos avanzados.
Qué era Tycoon 2FA: PhaaS orientado a AitM y robo de sesiones
Tycoon 2FA apareció en foros clandestinos en agosto de 2023 y, según Europol, se convirtió rápidamente en una de las operaciones de phishing más grandes a escala global. Operaba bajo un modelo de suscripción: acceso básico durante 10 días por unos 120 dólares y uso completo del panel web de gestión por alrededor de 350 dólares al mes.
El panel de control centralizado permitía a los clientes:
- seleccionar plantillas de phishing preconfiguradas para servicios como Microsoft 365, OneDrive, Outlook, SharePoint, Gmail y otros;
- adjuntar documentos señuelo y definir vectores de entrega (enlaces, adjuntos, etc.);
- administrar dominios, hosting, redirecciones y la lógica de navegación de la víctima;
- monitorizar intentos de inicio de sesión exitosos y fallidos;
- exportar usuarios, contraseñas, códigos MFA y cookies de sesión o recibirlos en casi tiempo real vía Telegram.
En la práctica, el servicio eliminaba la barrera técnica para ejecutar campañas complejas de phishing AitM, ofreciendo un “kit listo para usar” a actores poco experimentados.
Escala global de las campañas de Tycoon 2FA
De acuerdo con Europol, la infraestructura de Tycoon 2FA generaba decenas de millones de correos de phishing al mes, facilitando accesos no autorizados a buzones y servicios en la nube de casi 100 000 organizaciones en todo el mundo, incluyendo centros educativos, hospitales y organismos públicos.
En la operación coordinada se desconectaron 330 dominios vinculados a la plataforma, desde las páginas de phishing hasta los paneles de administración. Intel 471 atribuye a Tycoon 2FA más de 64 000 incidentes de phishing y decenas de miles de dominios usados para envío y alojamiento.
Microsoft, que rastrea a los operadores como Storm-1747, califica a Tycoon 2FA como la plataforma de phishing más activa detectada en 2025, habiendo bloqueado más de 13 millones de correos maliciosos relacionados con su infraestructura. Proofpoint señala que era la fuente con mayor volumen de phishing AitM: solo en febrero de 2026 se registraron más de 3 millones de mensajes asociados. Trend Micro estima unos 2 000 clientes activos, cuyas campañas alcanzaban mensualmente a más de 500 000 organizaciones de todos los sectores.
Cómo Tycoon 2FA burlaba la MFA mediante ataques Adversary-in-the-Middle
La peligrosidad de Tycoon 2FA radicaba en su enfoque AitM para evadir la MFA. El servicio desplegaba proxies que se situaban entre el usuario y el servicio legítimo (por ejemplo, Microsoft 365). La víctima veía una página de inicio de sesión auténtica, pero todo el tráfico pasaba por la infraestructura del atacante.
Durante el proceso de autenticación, el kit:
- interceptaba usuario, contraseña y códigos MFA en tiempo real;
- capturaba cookies y tokens de sesión emitidos por el servicio legítimo;
- reenviaba los códigos MFA correctos al servidor real, evitando que el usuario percibiera la manipulación.
Con las cookies de sesión, el atacante podía mantener acceso a la cuenta incluso después de un cambio de contraseña, hasta que las sesiones se revocaran de forma explícita. Esto hace que medidas reactivas tradicionales, como “cambie su contraseña”, sean insuficientes frente a este tipo de amenazas.
Para dificultar la detección, Tycoon 2FA incorporaba técnicas avanzadas: monitorización de pulsaciones, filtrado de bots, browser fingerprinting, ofuscación de código, CAPTCHA propios, JavaScript personalizado y páginas señuelo dinámicas. La infraestructura se apoyaba en Cloudflare, combinaba múltiples TLD y utilizaba FQDN de vida muy corta (24–72 horas), complicando la creación de listas de bloqueo duraderas.
ATO Jumping y la “democratización” del phishing avanzado
Los clientes de Tycoon 2FA explotaban de forma sistemática la técnica de ATO Jumping (account takeover jumping): una vez comprometido un buzón, lo utilizaban para enviar nuevas URL de Tycoon 2FA a otros destinatarios. Al provenir de un remitente conocido, la tasa de clics aumentaba significativamente.
Este modelo PhaaS democratiza los ataques de alto nivel: los delincuentes ya no necesitan construir proxies AitM, diseñar páginas o escribir código anti detección. Todo se ofrece como servicio, lo que amplía el número de actores capaces de lanzar campañas sofisticadas y eleva la presión sobre organizaciones de cualquier tamaño.
Lecciones de seguridad: MFA resistente al phishing y control de sesiones
Las estadísticas de Proofpoint reflejan la magnitud del problema: en 2025, el 99 % de las organizaciones sufrió intentos de account takeover y en el 67 % al menos uno tuvo éxito. Resulta especialmente significativo que en el 59 % de las cuentas comprometidas la MFA estaba activada, lo que confirma la efectividad del phishing AitM y la necesidad de elevar el nivel de protección.
Ante este escenario, las organizaciones deberían:
- adoptar MFA resistente al phishing (llaves FIDO2, passkeys, tarjetas inteligentes) en lugar de SMS o códigos de un solo uso;
- gestionar con rigor el ciclo de vida de las sesiones, revocando tokens y cerrando todas las sesiones activas ante cualquier indicio de compromiso;
- implantar políticas de acceso condicional y análisis de riesgo de inicio de sesión (IP anómalas, geolocalización, dispositivo);
- desplegar pasarelas de correo y soluciones anti-phishing con capacidades específicas frente a escenarios AitM;
- reforzar la formación de usuarios para identificar correos sospechosos, incluso si proceden de contactos de confianza, y revisar cuidadosamente los dominios;
- mejorar la monitorización de actividad en cuentas (envíos masivos, cambios en MFA, operaciones inusuales sobre archivos).
El caso Tycoon 2FA demuestra que los atacantes evolucionan rápidamente y convierten técnicas avanzadas de evasión de MFA en servicios masivos. Elevar la seguridad ya no pasa solo por “activar la MFA”, sino por construir una estrategia integral de protección de identidades y correo electrónico, revisar los modelos de amenaza y acelerar la adopción de autenticación resistente al phishing y de un monitoreo profundo de sesiones. Las organizaciones que den estos pasos de forma proactiva estarán en mejor posición para que el próximo “Tycoon 2FA” no se convierta en un incidente crítico.
