Microsoft y Cloudflare llevaron a cabo a inicios de septiembre de 2025 una operación conjunta que neutralizó la infraestructura de RaccoonO365, una plataforma de phishing como servicio (PhaaS) especializada en robar credenciales de Microsoft 365. Según la Microsoft Digital Crimes Unit (DCU), la acción permitió desactivar 338 sitios de phishing y cuentas de Cloudflare Workers que sustentaban la campaña.
Cómo operaba RaccoonO365: técnicas, evasión y suplantación de Microsoft 365
RaccoonO365 ofrecía a suscriptores kits listos para campañas: correos con enlaces o QR codes, páginas señuelo que imitaban servicios de Microsoft y módulos para capturar contraseñas y cookies de sesión. Para elevar la tasa de éxito, los operadores incluían pantallas de CAPTCHA y filtros antibot que descartaban escáneres automatizados y entornos de análisis.
Un componente clave fue el uso de Cloudflare Workers como capa de ocultamiento. Antes de redirigir a la víctima a la página falsa, los scripts ejecutaban comprobaciones para diferenciar usuarios reales de analistas o sandboxes. Si detectaban señales de investigación, devolvían errores o interrumpían la conexión, reduciendo la exposición de la infraestructura maliciosa.
Impacto global: credenciales robadas y sectores afectados
De acuerdo con datos de Microsoft, el grupo rastreado como Storm-2246 sustrajo al menos 5.000 credenciales de usuarios en 94 países desde julio de 2024. Una oleada con temática fiscal en abril de 2025 impactó a más de 2.300 organizaciones en EE. UU., y se observaron campañas dirigidas a más de 20 instituciones sanitarias.
Las credenciales y cookies robadas, junto con datos de OneDrive, SharePoint y buzones de correo, se explotaban para fraude financiero, extorsión y persistencia en redes corporativas, facilitando movimientos laterales, escalada de privilegios y, en algunos casos, ataques a la cadena de suministro.
Economía criminal del PhaaS: suscripción, Telegram y criptomonedas
La distribución de estos kits se realizaba por suscripción en un canal privado de Telegram con más de 840 miembros a 25 de agosto de 2025. El modelo de negocio fijaba precios de 355 USD al mes o 999 USD por tres meses, con pagos en USDT y BTC. Microsoft estima ingresos de, al menos, 100.000 USD en criptoactivos (equivalente a 100–200 suscripciones), lo que confirma la escalabilidad y sostenibilidad delictiva del PhaaS al estilo SaaS.
Atribución y fallo de OPSEC
La DCU identifica como presunto líder del proyecto a Joshua Ogundipe, de Nigeria, vinculado al desarrollo del código principal. Un error de seguridad operativa —la exposición accidental de una cartera de criptomonedas— permitió correlacionar artefactos técnicos, reconstruir la cadena de operación y remitir evidencias a fuerzas de seguridad internacionales.
Recomendaciones técnicas para proteger Microsoft 365
Autenticación y control de acceso
– Habilite MFA resistente al phishing (FIDO2/WebAuthn) y desactive protocolos heredados (IMAP/POP/SMTP AUTH) que no soportan MFA.
– Aplique Conditional Access y Continuous Access Evaluation (CAE) para adaptar el acceso al riesgo en tiempo real.
– Supervise y restrinja consentimientos OAuth, permitiendo solo aplicaciones verificadas y con privilegios mínimos.
– Revoque sesiones y tokens sospechosos; monitorice “viajes imposibles” y anomalías de inicio de sesión.
Correo, detección y concienciación
– Refuerce la protección del correo con DMARC, DKIM y SPF, filtros de URL/adjuntos y defensas ante QR phishing.
– Establezca alertas por reglas de reenvío no autorizadas y cambios de MFA.
– Forme a los usuarios para identificar páginas de autenticación falsas, enlaces/QR sospechosos y solicitudes de consentimiento de apps maliciosas.
La caída de RaccoonO365 evidencia que la cooperación industria–proveedores puede desbaratar ecosistemas PhaaS complejos. Sin embargo, la rentabilidad de este modelo garantiza la aparición de clones y variantes. Priorizar factores resistentes al phishing, el principio de mínimo privilegio y la supervisión continua del acceso es clave para reducir la superficie de ataque y acelerar la respuesta ante incidentes.
