El FBI, en coordinación con la Policía Nacional de Indonesia, ha ejecutado una operación internacional para desmantelar la infraestructura del phishing kit comercial W3LL, utilizado para robar credenciales de miles de usuarios y facilitar intentos de fraude por más de 20 millones de dólares. Durante la operación se detuvo al presunto desarrollador principal, identificado como G.L, y se incautaron dominios y servidores empleados para campañas de phishing a escala global.
Operación internacional contra la red de phishing W3LL
Según la información compartida por las autoridades, W3LL funcionaba como un servicio criminal estructurado, al que se accedía mediante suscripción de alrededor de 500 dólares. El modelo seguía el esquema de “phishing-as-a-service”: los operadores ofrecían infraestructura, paneles de control y soporte, mientras que distintos grupos de ciberdelincuentes lanzaban las campañas. Esta industrialización reducía la barrera técnica de entrada y permitía que atacantes con poca experiencia ejecutaran ofensivas complejas.
Investigadores de Group-IB estiman que el ecosistema incluía el mercado clandestino W3LL Store, con alrededor de 500 clientes activos. En este marketplace se vendía el módulo principal W3LL Panel, kits específicos para ataques de compromiso de correo corporativo (BEC), bases de datos de correos electrónicos para campañas masivas y accesos a servidores ya comprometidos. El FBI añade que, entre 2019 y 2023, a través de esta plataforma se comercializaron más de 25 000 cuentas vulneradas, incluyendo accesos por Remote Desktop Protocol (RDP).
Los investigadores vinculan a G.L con actividades previas en el ámbito del spam y del envío masivo de correo, a través de herramientas como PunnySender y W3LL Sender, lo que sugiere una evolución desde el envío de correo no deseado hacia una infraestructura completa para ataques dirigidos contra empresas.
W3LL, Microsoft 365 y ataques AiTM para eludir la autenticación multifactor
Ataques adversary-in-the-middle y robo de cookies de sesión
Uno de los objetivos prioritarios de W3LL era la intrusión en cuentas corporativas de Microsoft 365, a menudo utilizadas como punto de partida para fraudes BEC y robo de información sensible. De acuerdo con análisis de Hunt.io de marzo de 2024, el kit implementaba técnicas de adversary-in-the-middle (AiTM). En este tipo de ataque, el servidor controlado por el atacante se sitúa entre la víctima y el sitio legítimo, interceptando en tiempo real el tráfico de autenticación.
Cuando la víctima introduce sus credenciales y completa la autenticación multifactor (MFA), el atacante captura no solo usuario y contraseña, sino también las cookies de sesión que certifican que el usuario ya se ha autenticado. Con estas cookies es posible eludir la MFA y reutilizar la sesión en otro dispositivo, incluso sin conocer el código de un solo uso ni tener acceso al segundo factor. Este enfoque convierte a los kits AiTM como W3LL en una amenaza especialmente crítica para entornos que confían únicamente en la MFA convencional basada en SMS, aplicaciones de autenticación o códigos por correo electrónico.
Reutilización de código y proliferación de kits derivados
La infraestructura W3LL también ha dejado huella en otros proyectos maliciosos. La empresa francesa Sekoia detectó fragmentos de código vinculados a W3LL Store dentro de otro kit de phishing llamado Sneaky 2FA, orientado igualmente a eludir la autenticación multifactor. Además, en los últimos años han circulado versiones “cracked” de W3LL, es decir, copias no autorizadas que se distribuyen en foros y canales clandestinos, lo que ha favorecido la difusión de sus técnicas más allá del control de los desarrolladores originales.
Aunque el W3LL Store se clausuró públicamente en 2023, el FBI indica que la operación continuó bajo otro nombre y se promocionó a través de mensajería cifrada. Solo entre 2023 y 2024, este conjunto de herramientas habría sido utilizado en ataques contra más de 17 000 víctimas en todo el mundo, combinando la venta del kit con la reventa de accesos a cuentas comprometidas, maximizando así el beneficio ilícito y el impacto en las organizaciones afectadas.
Impacto en la ciberseguridad empresarial y medidas de protección recomendadas
La desarticulación de la infraestructura W3LL priva a los ciberdelincuentes de uno de sus recursos más eficaces para obtener accesos ilegítimos a cuentas corporativas. Sin embargo, los informes de organismos como el FBI Internet Crime Complaint Center (IC3) y estudios como el Verizon Data Breach Investigations Report muestran que el phishing sigue siendo uno de los vectores de ataque más utilizados, y que el fraude BEC genera pérdidas anuales de miles de millones de dólares a nivel mundial.
Para las empresas, este caso confirma el alto grado de profesionalización del cibercrimen: plataformas como W3LL transforman el phishing en un servicio empaquetado, con soporte técnico, actualizaciones y comunidad de “clientes”. La defensa ya no puede basarse solo en filtros de correo y MFA básica. Resulta esencial combinar métodos de autenticación resistentes al phishing (como llaves de seguridad FIDO2 y passkeys), controles de acceso condicional, segmentación de privilegios, monitorización de inicios de sesión por geolocalización y dispositivo, y revisión continua de reglas de reenvío y configuración de buzones en Microsoft 365.
El refuerzo tecnológico debe ir acompañado de formación continua al personal para detectar correos sospechosos, verificar solicitudes de pago o cambio de cuenta bancaria por un canal alternativo y reportar de inmediato cualquier actividad anómala. Disponer de un plan de respuesta ante incidentes, con procedimientos claros para revocar sesiones activas, resetear contraseñas y revisar accesos, es igualmente decisivo para limitar el daño cuando una cuenta ya ha sido comprometida.
La operación contra W3LL demuestra que la cooperación internacional puede desmantelar infraestructuras clave del cibercrimen, pero también que las técnicas como los ataques AiTM contra Microsoft 365 seguirán evolucionando. Las organizaciones que adopten una estrategia de seguridad en profundidad, revisen periódicamente su postura de ciberseguridad empresarial y prioricen mecanismos de autenticación robustos y resistentes al phishing estarán en mejor posición para afrontar la próxima generación de kits de phishing y proteger sus activos críticos.
