Tycoon 2FA , uno de los destacados kits de herramientas de suplantación de identidad como servicio (PhaaS) que permitía a los ciberdelincuentes organizar ataques a gran escala para la obtención de credenciales de adversarios intermedios (AiTM), fue desmantelada por una coalición de organismos encargados de hacer cumplir la ley y empresas de seguridad.
El kit de suplantación de identidad basado en suscripción , que surgió por primera vez en agosto de 2023 , fue descrita por Europol como una de las mayores operaciones de suplantación de identidad del mundo. El kit estaba disponible por un precio inicial de 120 dólares durante 10 días o 350 dólares para acceder a un panel de administración basado en la web durante un mes.
El panel sirve como un centro para configurar, rastrear y refinar las campañas. Incluye plantillas prediseñadas, archivos adjuntos para los formatos de señuelos más comunes, configuración de dominios y alojamientos, lógica de redireccionamiento y seguimiento de las víctimas. Los operadores también pueden configurar la forma en que se entrega el contenido malintencionado a través de los archivos adjuntos, así como controlar los intentos de inicio de sesión válidos e inválidos.
La información capturada, como las credenciales, los códigos de autenticación multifactor (MFA) y las cookies de sesión, puede descargarse directamente desde el panel o reenviarse a Telegram para su supervisión casi en tiempo real.
adsense«Permitió a miles de ciberdelincuentes acceder de forma encubierta a cuentas de correo electrónico y de servicios basadas en la nube», dijo Europol dijo . «A gran escala, la plataforma generaba decenas de millones de correos electrónicos de suplantación de identidad cada mes y facilitaba el acceso no autorizado a casi 100 000 organizaciones de todo el mundo, incluidas escuelas, hospitales e instituciones públicas».
Como parte del esfuerzo coordinado, se han eliminado 330 dominios que formaban la columna vertebral del servicio delictivo, incluidas las páginas de suplantación de identidad y los paneles de control.
Calificando a Tycoon 2FA de «peligroso», Intel 471 dijo el kit estaba vinculado a más de 64 000 incidentes de suplantación de identidad y decenas de miles de dominios, lo que generaba decenas de millones de correos electrónicos de suplantación de identidad cada mes. Según Microsoft, que está rastreando a los operadores del servicio con el nombre Storm-1747, Tycoon 2FA se convirtió la plataforma más prolífica observada por la empresa en 2025, que bloqueó más de 13 millones de correos electrónicos maliciosos vinculados al servicio de crimeware.
|
| Cronología de la evolución de Tycoon 2FA (Fuente: Point Wild) |
Datos de Proofpoint muestra que Tycoon 2FA representó el mayor volumen de amenazas de suplantación de identidad de AiTM. La empresa de seguridad del correo electrónico dijo que había observado más de tres millones de mensajes asociados al kit de suplantación de identidad solo en febrero de 2026. Trend Micro, que fue uno de los socios del sector privado en la operación, señaló que la plataforma PhaaS tenía aproximadamente 2.000 usuarios.
Las campañas que utilizan Tycoon 2FA se han dirigido indiscriminadamente a casi todos los sectores, incluidos la educación, la salud, las finanzas, las organizaciones sin fines de lucro y el gobierno. Los correos electrónicos de suplantación de identidad enviados desde el kit llegaron a más de 500 000 organizaciones cada mes en todo el mundo.
«La plataforma de Tycoon 2FA permitió a los actores de amenazas hacerse pasar por marcas de confianza al imitar las páginas de inicio de sesión de servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail», dijo Microsoft dijo .
«También permitió a los actores de amenazas usar su servicio para establecer la persistencia y acceder a información confidencial incluso después de restablecer las contraseñas, a menos que las sesiones y los tokens activos se revocaran explícitamente. Esto funcionó interceptando las cookies de sesión generadas durante el proceso de autenticación y capturando simultáneamente las credenciales de los usuarios. Posteriormente, los códigos de MFA se transmitían al servicio de autenticación a través de los servidores proxy de Tycoon 2FA».
El kit también empleaba técnicas como el monitoreo de pulsaciones de teclas, la detección de robots, la toma de huellas dactilares del navegador, la ofuscación de código pesado, los CAPTCHA autohospedados, el JavaScript personalizado y las páginas señuelo dinámicas para eludir los esfuerzos de detección. Otro aspecto clave es el uso de una combinación más amplia de dominios de nivel superior (TLD) y nombres de dominio totalmente cualificados (FQDN) de corta duración para alojar la infraestructura de suplantación de identidad en Cloudflare.
enlacesLos FQDN suelen durar solo de 24 a 72 horas, y la rápida rotación es un esfuerzo deliberado para complicar la detección e impedir la creación de listas de bloqueo confiables. Microsoft también atribuyó el éxito de Tycoon 2FA a la imitación exacta de los procesos de autenticación legítimos para interceptar sigilosamente las credenciales de los usuarios y los tokens de sesión.
Para empeorar las cosas, los clientes de Tycoon 2FA utilizaron una técnica llamada ATO Jumping, mediante la cual una cuenta de correo electrónico comprometida se utiliza para distribuir las URL de Tycoon 2FA e intentar realizar más actividades de apropiación de cuentas. «El uso de esta técnica permite que los correos electrónicos parezcan provenir auténticamente de un contacto de confianza de la víctima, lo que aumenta la probabilidad de que se produzca una violación», señala Proofpoint.
Kits de phishing como Tycoon están diseñados para ser flexibles, de modo que sean accesibles para los actores con menos conocimientos técnicos y, al mismo tiempo, ofrecer capacidades avanzadas para los operadores más experimentados.
«En 2025, el 99% de las organizaciones experimentaron intentos de apropiación de cuentas en 2025, y el 67% lo hizo con éxito», dijo Selena Larson, investigadora de amenazas del personal de Proofpoint, en un comunicado compartido con The Hacker News. «De estas, el 59% de las cuentas robadas tenían habilitada la autenticación multifactor. Si bien no todos estos ataques estaban relacionados con Tycoon MFA, esto demuestra el impacto que la suplantación de identidad de AiTM tiene en las empresas».
«Estos ciberataques que permiten la apropiación total de cuentas pueden provocar impactos desastrosos, como el ransomware o la pérdida de datos confidenciales. Dado que los responsables de las amenazas siguen dando prioridad a la identidad, obtener acceso a las cuentas de correo electrónico empresariales suele ser el primer paso de una cadena de ataques que puede tener consecuencias destructivas».
Fuentes de Información: THEHACKERNEWS