Las fuerzas de seguridad de Nigeria han anunciado la detención de tres personas presuntamente vinculadas con Raccoon0365, una plataforma de phishing-as-a-service (PhaaS) utilizada para ataques masivos contra cuentas corporativas de Microsoft 365. La operación fue posible gracias a información técnica proporcionada por Microsoft, compartida con el FBI y posteriormente remitida al National Cybercrime Centre de la policía nigeriana (NPF‑NCCC).
Arrestos en Nigeria y vínculo con la plataforma Raccoon0365
Según el NPF‑NCCC, las detenciones se llevaron a cabo mediante acciones coordinadas en los estados de Lagos y Edo. Durante los registros se requisaron ordenadores portátiles, teléfonos móviles y otros dispositivos digitales que, tras el análisis forense, fueron relacionados con la infraestructura y las operaciones de la plataforma de phishing.
Las autoridades destacan que el rastro técnico dejado por la infraestructura de Raccoon0365 —direcciones IP, dominios, artefactos de código y registros de actividad— permitió correlacionar de forma directa los dispositivos incautados con campañas concretas de phishing contra Microsoft 365.
Entre los arrestados se encuentra Okitipi Samuel, conocido en línea con los alias Raccoon0365 y Moses Felix. La investigación lo señala como principal desarrollador del servicio y administrador de un canal privado de Telegram donde se distribuían los kits de phishing. En el momento de la clausura del servicio, dicho canal contaba con más de 800 miembros.
Los otros dos detenidos no han sido, por ahora, formalmente acusados de desarrollar o administrar Raccoon0365; su implicación exacta en la cadena delictiva continúa bajo investigación. Llama la atención que el comunicado de la policía nigeriana no menciona a Joshua Ogundipe, previamente identificado por investigadores de Microsoft como presunto líder del grupo detrás del servicio.
Cómo funcionaba Raccoon0365: phishing-as-a-service contra Microsoft 365
Raccoon0365 operaba como un servicio comercial de PhaaS, diseñado para que actores con escasos conocimientos técnicos pudieran lanzar campañas de phishing a gran escala contra usuarios de Microsoft 365. Este modelo, cada vez más extendido, externaliza a la plataforma la creación, el mantenimiento y la actualización de la infraestructura maliciosa, mientras los clientes se centran en seleccionar objetivos y monetizar la información robada.
El servicio ofrecía herramientas para generar correos de phishing, adjuntos maliciosos, enlaces y códigos QR que redirigían a páginas fraudulentas que imitaban de forma muy convincente los portales de inicio de sesión de Microsoft 365. Cuando la víctima introducía sus credenciales, estas se enviaban de inmediato a los operadores, a menudo junto con cookies de sesión, lo que permitía eludir mecanismos básicos de autenticación multifactor (MFA) mediante el secuestro de sesión.
El objetivo no se limitaba a robar usuario y contraseña: los atacantes buscaban acceso integral al ecosistema Microsoft 365 de la víctima, incluyendo OneDrive, SharePoint y buzones de correo corporativos. Estos accesos se explotaban para:
Fraude financiero y BEC. La comprometida del correo corporativo (Business Email Compromise, BEC) permitía manipular hilos de correo legítimos, cambiar datos bancarios en facturas y redirigir pagos hacia cuentas controladas por los delincuentes.
Extorsión y filtración de datos. El acceso a documentos sensibles abría la puerta a chantajes basados en la amenaza de publicar información confidencial o bloquear cuentas críticas.
Movimiento lateral y malware. Las cuentas comprometidas servían como punto de entrada para desplegar más malware, moverse lateralmente dentro de la red corporativa y facilitar intrusiones más profundas.
Los kits de phishing se comercializaban mediante suscripción a través de un canal privado de Telegram que, a 25 de agosto de 2025, sumaba más de 840 miembros. Las tarifas iban desde 355 dólares al mes hasta 999 dólares por tres meses, con pagos en criptomonedas USDT y BTC. Microsoft estima que el grupo obtuvo al menos 100 000 dólares en criptomonedas, lo que implica entre 100 y 200 suscripciones vendidas, aunque el beneficio real podría ser superior.
Microsoft, Cloudflare y el desmantelamiento de la infraestructura PhaaS
A principios de septiembre de 2025, la unidad Microsoft Digital Crimes Unit (DCU), en colaboración con los equipos Cloudforce One y Trust and Safety de Cloudflare, ejecutó una operación para retirar la infraestructura asociada a Raccoon0365. Se desactivaron 338 sitios web y cuentas de Cloudflare Workers empleados para alojar páginas de phishing y evadir sistemas de detección.
Los operadores de Raccoon0365 utilizaban los servicios de Cloudflare para implementar técnicas de anti-análisis y evasión: proxy inverso del tráfico, protección frente a escaneos automatizados y despliegue rápido de nuevos dominios dificultaban que las empresas de seguridad bloquearan de forma consistente los recursos maliciosos.
Un elemento clave en la atribución fue un fallo de operational security (OPSEC) por parte de los atacantes. De acuerdo con Microsoft, los operadores expusieron accidentalmente un monedero de criptomonedas. Al correlacionar las transacciones asociadas a este monedero con cuentas, dominios y otros indicadores técnicos, los investigadores de DCU pudieron identificar a los implicados y remitir evidencias a las fuerzas de seguridad internacionales.
Lecciones de ciberseguridad para organizaciones que usan Microsoft 365
El caso de Raccoon0365 ilustra cómo el modelo de phishing-as-a-service reduce drásticamente la barrera de entrada a la ciberdelincuencia: cualquier actor puede adquirir “phishing llave en mano” con plantillas, paneles de control y automatización para eludir defensas. Informes como el Verizon Data Breach Investigations Report (DBIR) sitúan reiteradamente al phishing entre los vectores iniciales de intrusión más habituales, y servicios PhaaS refuerzan esta tendencia.
Para las empresas que dependen de Microsoft 365, este incidente refuerza la necesidad de una defensa en profundidad:
Autenticación reforzada. Activar MFA de forma obligatoria, priorizar llaves de seguridad FIDO2 y políticas de acceso condicional, y limitar el uso de códigos de un solo uso por SMS o correo reduce el valor de las credenciales robadas y de las cookies de sesión.
Protección del correo y de enlaces. Configurar de manera adecuada soluciones de Secure Email Gateway y Defender for Office 365, con análisis de URL en tiempo real, sandboxing de adjuntos y detección de QR phishing, es esencial para mitigar ataques similares.
Formación continua al usuario. Simulaciones periódicas de phishing y programas de concienciación ayudan a detectar correos fraudulentos, incluso cuando abusan de marcas de confianza o incluyen códigos QR aparentemente legítimos. La cultura de “verificar antes de hacer clic o pagar” es crítica para reducir el éxito de BEC.
Monitorización y respuesta. Alertas sobre inicios de sesión anómalos, “viajes imposibles” entre geolocalizaciones, descargas masivas de datos y concesión sospechosa de permisos a aplicaciones OAuth permiten detectar compromisos de cuenta de forma temprana y activar procedimientos de respuesta.
El desmantelamiento de Raccoon0365 demuestra que incluso las plataformas PhaaS mejor camufladas son vulnerables a la cooperación entre proveedores tecnológicos y fuerzas del orden. No obstante, mientras el phishing siga siendo uno de los métodos más eficaces para comprometer organizaciones, resulta imprescindible que empresas de todos los tamaños revisen sus controles de seguridad en la nube, refuercen la protección de Microsoft 365 y mantengan un programa constante de concienciación y formación en ciberseguridad.
