Investigadores de Varonis han identificado una nueva plataforma de phishing-as-a-service (PhaaS) denominada Spiderman, diseñada específicamente para atacar a usuarios de bancos europeos, servicios fintech y monederos de criptomonedas. Esta infraestructura criminal permite crear de forma masiva páginas de inicio de sesión falsas altamente convincentes y capturar no solo credenciales de acceso, sino también códigos de doble factor (2FA), datos de tarjetas bancarias y seed phrases de wallets cripto.
Qué es Spiderman y cómo funciona esta plataforma PhaaS
El modelo PhaaS convierte el phishing en un servicio por suscripción: el ciberdelincuente ya no necesita desarrollar su propia infraestructura, simplemente alquila un kit completo listo para usar. Spiderman pertenece a esta nueva generación de herramientas, al automatizar la creación de copias fraudulentas de sitios legítimos y gestionar toda la cadena de ataque, desde el redireccionamiento de la víctima hasta la exfiltración de los datos robados mediante un panel web centralizado.
Según Varonis, Spiderman se orienta a instituciones financieras europeas y admite múltiples escenarios de robo de información. La plataforma está optimizada para engañar incluso a usuarios que confían en la autenticación de dos factores y contraseñas de un solo uso (OTP), lo que eleva significativamente el riesgo en un contexto de migración masiva de la banca al canal digital.
Objetivos de Spiderman: bancos, fintech y criptomonedas
Las campañas basadas en Spiderman se dirigen a clientes de grandes bancos europeos como Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank, Commerzbank, entre otros, repartidos en al menos cinco países. Para cada entidad, los operadores disponen de plantillas de phishing específicas, diseñadas para replicar con precisión el aspecto y el flujo de los portales de banca online legítimos.
El alcance de la amenaza va más allá de la banca tradicional. Spiderman incluye módulos para servicios fintech populares, como la plataforma sueca Klarna, y para el proveedor de pagos PayPal. En el ámbito cripto, incorpora páginas fraudulentas capaces de robar seed phrases y credenciales de acceso a monederos como Ledger, MetaMask, Exodus y otras soluciones.
De este modo, un mismo motor de phishing cubre todo el espectro de activos financieros —desde cuentas bancarias clásicas hasta criptoactivos—, amplificando el impacto potencial de una sola brecha de seguridad.
Funciones avanzadas de Spiderman: panel en tiempo real y robo de 2FA
Intercepción en tiempo real de sesiones, códigos 2FA y PhotoTAN
La principal diferencia entre Spiderman y las campañas de phishing más rudimentarias es su panel de administración en tiempo real. A través de esta consola, los operadores pueden seguir el proceso de autenticación de cada víctima y capturar de manera instantánea:
- usuario y contraseña de banca online y servicios fintech;
- códigos OTP recibidos por SMS o generados por aplicaciones de autenticación;
- códigos de aprobación de operaciones y tokens de firma de transacciones;
- datos completos de tarjetas de pago.
Destaca especialmente la capacidad de robar códigos PhotoTAN, un sistema de un solo uso ampliamente utilizado en Europa. En este modelo, el banco muestra un mosaico gráfico que el cliente escanea con la app oficial para obtener un código OTP único y vinculado a una operación determinada. Spiderman simula este flujo legítimo y permite que el atacante intercepte el código en el mismo momento en que la víctima cree estar autorizando su propia transacción.
Segmentación avanzada y evasión de detección
El panel de Spiderman también proporciona amplias funciones de segmentación (targeting), lo que permite a los operadores:
- restringir las campañas a países, operadores móviles o rangos de IP concretos;
- definir listas blancas de proveedores a los que no se atacará, reduciendo la exposición frente a reguladores e investigadores;
- filtrar por tipo de dispositivo, orientando ataques específicos a móviles o equipos de escritorio;
- configurar redirecciones dinámicas hacia sitios legítimos cuando el visitante no cumple los criterios deseados.
Esta flexibilidad incrementa la tasa de éxito de las campañas de phishing bancario y dificulta su detección temprana por parte de los equipos de ciberseguridad.
Arquitectura modular y evolución del riesgo para la banca online
Varonis señala que Spiderman se basa en una arquitectura modular: nuevos bancos, portales y esquemas de autenticación se incorporan como módulos adicionales. Esto significa que, a medida que las entidades financieras europeas actualicen sus plataformas de banca online y adopten requisitos de PSD2 y autenticación reforzada de clientes (SCA), los desarrolladores de Spiderman podrán adaptar rápidamente sus plantillas de phishing a las nuevas interfaces.
Informes como el Verizon Data Breach Investigations Report (DBIR) o los análisis periódicos de ENISA confirman que el phishing sigue siendo uno de los vectores iniciales de intrusión más comunes. Plataformas PhaaS como Spiderman reducen drásticamente la barrera de entrada para actores maliciosos y profesionalizan el ecosistema de fraude, elevando la calidad y credibilidad de las páginas falsas.
Cómo protegerse del phishing bancario avanzado como Spiderman
Pese a su sofisticación técnica, Spiderman sigue dependiendo de un elemento crítico: que la víctima haga clic en un enlace malicioso e introduzca sus datos en una página fraudulenta. Por ello, las prácticas básicas de higiene digital continúan siendo la defensa más efectiva:
- Verificar siempre el dominio en la barra de direcciones antes de introducir usuario, contraseña o códigos 2FA, especialmente si se ha accedido desde SMS, mensajería o correo electrónico.
- Evitar pulsar en enlaces de mensajes supuestamente enviados por el banco o el proveedor de pagos; es más seguro escribir la URL manualmente o usar marcadores guardados.
- Desconfiar de ventanas tipo “browser-in-the-browser” (BiTB) que simulan pop-ups de inicio de sesión: si el cuadro se comporta como parte de la página y no como una ventana independiente del navegador, es una señal de alerta.
- Utilizar gestores de contraseñas, que solo rellenan credenciales en dominios legítimos previamente guardados, dificultando que un sitio falso reciba los datos.
- Adoptar llaves de seguridad FIDO2 y tokens hardware siempre que sea posible, ya que vinculan criptográficamente la autenticación al dominio legítimo y mitigan el robo de códigos de un solo uso.
- En las organizaciones, desplegar pasarelas de correo anti-phishing, programas continuos de concienciación y simulaciones de phishing, junto con monitorización de actividad anómala en cuentas y mecanismos de autenticación robusta.
La aparición de plataformas como Spiderman confirma la rápida adaptación del cibercrimen al crecimiento de la banca online y los servicios de criptomonedas. Elevar el nivel de conciencia, formación y disciplina digital de usuarios y empresas, combinado con controles técnicos multicapa, es esencial para reducir la superficie de ataque y limitar el éxito de estas campañas de phishing bancario avanzado.
