La plataforma de phishing-as-a-service (PhaaS) Sneaky2FA ha incorporado recientemente soporte completo para la técnica browser-in-the-browser (BitB), elevando de forma significativa la credibilidad de sus páginas falsas de inicio de sesión. Esta combinación permite a los atacantes robar no solo credenciales, sino también tokens de sesión válidos, lo que facilita el acceso a cuentas corporativas —en especial de Microsoft 365— incluso cuando se utiliza autenticación de dos factores (2FA).
Plataforma Sneaky2FA: phishing-as-a-service dirigido a Microsoft 365
Sneaky2FA forma parte del ecosistema de phishing-as-a-service, es decir, kits y servicios listos para usar que se alquilan por suscripción a actores maliciosos de distinto nivel técnico. De este modo, incluso delincuentes con poca experiencia pueden lanzar campañas de phishing a gran escala contra organizaciones, centrándose en cuentas de correo y servicios en la nube de Microsoft 365, donde se concentra información crítica de negocio.
La característica central de Sneaky2FA es el modelo attacker-in-the-middle (AiTM). El usuario víctima accede a una página de phishing que actúa como proxy entre él y el servicio legítimo, por ejemplo portal.office.com. Todo lo que introduce el usuario —nombre de usuario, contraseña y código de 2FA— pasa primero por la infraestructura del atacante, que intercepta en tiempo real el tráfico hacia el servicio real.
Gracias a este enfoque, los operadores de Sneaky2FA no solo capturan las credenciales, sino también los tokens de sesión emitidos tras una autenticación correcta. Dichos tokens permiten abrir sesiones posteriores sin necesidad de introducir de nuevo contraseña ni códigos de segundo factor. En la práctica, la 2FA queda neutralizada porque el atacante se limita a reutilizar una sesión ya autenticada.
Qué es un ataque browser-in-the-browser (BitB) y por qué resulta tan creíble
La técnica browser-in-the-browser fue documentada en 2022 por el investigador conocido como mr.d0x, quien demostró que es posible construir, solo con HTML, CSS y JavaScript, una ventana de inicio de sesión completamente falsa que imita de forma precisa los pop‑ups de inicio de sesión único (SSO) de proveedores como Google, Microsoft, Apple, Facebook o Steam.
En un flujo SSO legítimo, el usuario hace clic en «Iniciar sesión con Google / Microsoft» y el navegador muestra una pequeña ventana independiente con la barra de direcciones visible. En una BitB, esa “ventana” se renderiza dentro de la propia página web maliciosa. Los atacantes reproducen la interfaz completa, incluida una barra de direcciones simulada que muestra dominios aparentemente seguros como accounts.google.com o login.microsoftonline.com. Para la mayoría de los usuarios, la imitación es indistinguible del diálogo original.
Integración de BitB en Sneaky2FA: vector combinado de alto impacto
Al incorporar BitB, Sneaky2FA combina el proxy attacker-in-the-middle con ventanas SSO extremadamente realistas. El kit adapta dinámicamente la apariencia del falso cuadro de diálogo al sistema operativo y navegador de la víctima, simulando por ejemplo Edge en Windows o Safari en macOS, lo que reduce aún más las posibilidades de que el usuario perciba la suplantación.
El flujo típico de ataque es el siguiente: el usuario hace clic en un enlace malicioso recibido por correo, mensajería instantánea o a través de un sitio web comprometido; se le presenta una página que reproduce el portal de Microsoft 365 o un botón «Sign in with Microsoft»; al pulsarlo, se muestra una ventana BitB donde la víctima introduce sus datos. Toda la información se reenvía a la infraestructura de Sneaky2FA, que a su vez la utiliza ante el servicio legítimo para obtener un token de sesión plenamente operativo.
Evasión de análisis: ofuscación de código y filtrado de tráfico
Los análisis recientes apuntan a que Sneaky2FA aplica una ofuscación profunda de HTML y JavaScript. El texto se fragmenta con etiquetas invisibles, y numerosos elementos de interfaz se insertan como imágenes codificadas. Aunque la página se percibe normal a simple vista, estas técnicas dificultan de forma significativa la detección mediante motores anti‑phishing basados en firmas o análisis estático de código.
Además, la plataforma implementa mecanismos de segmentación de tráfico: las peticiones procedentes de bots, rastreadores y sistemas de análisis se desvían hacia páginas inofensivas. Este enfoque complica la identificación automática y el bloqueo de la infraestructura de phishing, y obstaculiza la labor de los analistas que, a menudo, nunca llegan a ver la versión “real” del sitio fraudulento.
Cómo proteger a la organización frente a BitB y phishing-as-a-service
Medidas técnicas: autenticación robusta y supervisión continua
Para compañías que utilizan Microsoft 365 u otros servicios en la nube, resulta esencial incorporar una estrategia de autenticación por capas. El uso de llaves de seguridad físicas y estándares FIDO2 / WebAuthn reduce drásticamente el valor de las contraseñas y códigos de un solo uso robados, ya que el factor criptográfico se vincula al dominio legítimo y no puede reutilizarse en un sitio falso.
Es recomendable aplicar políticas de acceso condicional (Conditional Access), restringiendo inicios de sesión por ubicación, tipo de dispositivo y nivel de riesgo, así como habilitar alertas sobre sesiones anómalas, múltiples intentos fallidos o actividad desde países inusuales. Según datos públicos de proveedores como Microsoft, la MFA bloquea más del 99 % de los ataques automatizados, pero solo si se combina con monitorización y respuesta ante el uso indebido de tokens de sesión.
Formación y gobernanza: el factor humano como línea de defensa
Las BitB resultan peligrosas precisamente porque se ven “perfectamente normales”. Por ello, la concienciación de los empleados es un pilar crítico. Los programas de formación deberían incluir simulaciones periódicas de phishing, análisis de incidentes reales y pautas claras para identificar señales de alerta: solicitudes de inicio de sesión inesperadas, dominios ligeramente alterados, peticiones inusuales de permisos u oficios que fuerzan la urgencia.
Desde la perspectiva operativa, conviene reforzar los procesos de gestión de identidades y accesos: aplicar el principio de mínimo privilegio, desactivar de forma ágil cuentas sospechosas, revisar el uso de tokens de sesión, supervisar aplicaciones OAuth conectadas al entorno corporativo y mantener inventarios actualizados de cuentas con acceso privilegiado.
El auge del phishing-as-a-service y la adopción de técnicas avanzadas como browser-in-the-browser evidencian que los atacantes están profesionalizando tanto la ingeniería social como los mecanismos para sortear la 2FA tradicional. Es un momento clave para que las organizaciones revisen su estrategia de ciberseguridad: combinar autenticación resistente al phishing, detección proactiva y formación continua del personal. Incorporar estas prácticas de forma sistemática reduce de manera significativa la probabilidad de que campañas basadas en kits como Sneaky2FA consigan comprometer cuentas corporativas críticas.
