Las plataformas de suplantación de identidad como servicio (PhaaS) siguen evolucionando, lo que ofrece a los atacantes formas más rápidas y económicas de entrar en las cuentas corporativas. Ahora, los investigadores de CUALQUIER CARRERA ha descubierto a un nuevo participante: Salty2FA , un kit de suplantación de identidad diseñado para eludir varios métodos de autenticación de dos factores y eludir las defensas tradicionales.

Salty2fa, que ya se ha visto en campañas en EE. UU. y la UE, pone en riesgo a las empresas al centrarse en sectores que van desde las finanzas hasta la energía. Su cadena de ejecución en varias etapas, su infraestructura evasiva y su capacidad para interceptar credenciales y códigos 2FA lo convierten en uno de los marcos de PhaaS más peligrosos de los que se han visto este año.

Por qué Salty2fa aumenta las apuestas para las empresas

La capacidad de Salty2fa para evite la 2FA basada en push, SMS y voz significa que el robo de credenciales puede llevar directamente a la apropiación de la cuenta. El kit, que ya está dirigido a los sectores financiero, energético y de telecomunicaciones, convierte los correos electrónicos de suplantación de identidad más comunes en infracciones de alto impacto.

¿Quién está siendo el objetivo?

Los analistas de ANY.RUN mapearon las campañas de Salty2FA y descubrieron que la actividad abarcaba varias regiones e industrias, con el Las empresas estadounidenses y de la UE son las más afectadas .

Región Industrias objetivo clave
Estados Unidos Finanzas, salud, gobierno, logística, energía, consultoría de TI, educación, construcción
Europa (Reino Unido, Alemania, España, Italia, Grecia, Suiza) Telecomunicaciones, productos químicos, energía (incluida la solar), fabricación industrial, bienes raíces, consultoría
En todo el mundo/ Otros Logística, TI, metalurgia (India, Canadá, Francia, LATAM)

¿Cuándo comenzó Salty2fa a llegar a las empresas?

Según los datos de ANY.RUN Sandbox y TI, la actividad de Salty2fa comenzó a cobrar impulso en junio de 2025, y es posible que los primeros rastros se remonten a marzo-abril. Las campañas confirmadas llevan activas desde finales de julio y continúan hasta el día de hoy, lo que genera docenas de nuevas sesiones de análisis a diario.

Caso real: cómo Salty2fa explota a los empleados empresariales

Un caso reciente analizado por ANY.RUN muestra lo convincente que puede ser Salty2FA en la práctica. Un empleado recibió un correo electrónico con el asunto «Solicitud de revisión externa: corrección de pago en 2025", un señuelo diseñado para provocar urgencia y evitar el escepticismo.

Cuando se abrió en la zona de pruebas de ANY.RUN, la cadena de ataque se desplegó paso a paso:

Vea un caso real del ataque Salty2FA

El correo electrónico malintencionado con el ataque Salty2FA se analiza en el sandbox de ANY.RUN

Etapa 1: señuelo por correo electrónico

El correo electrónico contenía una solicitud de corrección de pagos disfrazada de mensaje empresarial rutinario.

Únase a más de 15 000 empresas de todo el mundo que reducen el tiempo de investigación y detienen las infracciones más rápido con ANY.RUN

Empieza ahora

Etapa 2: Redireccionamiento e inicio de sesión falso

El enlace conducía a una página de inicio de sesión de la marca Microsoft, envuelta en cheques de Cloudflare para evitar los filtros automatizados. En el entorno limitado, la interactividad automatizada de ANY.RUN gestionaba la verificación automáticamente, lo que revelaba el flujo sin necesidad de hacer clic manualmente y reducía el tiempo de investigación para los analistas.

La verificación de Cloudflare se completó automáticamente en el entorno limitado de ANY.RUN

Etapa 3: Robo de credenciales

Los datos de los empleados introducidos en la página se recopilaron y se filtraron a servidores controlados por los atacantes.

Página falsa de Microsoft, lista para robar las credenciales de las víctimas

Etapa 4: Bypass 2FA

Si la cuenta tenía habilitada la autenticación multifactor, la página de suplantación de identidad solicitaba códigos y podía interceptar la verificación push, SMS o incluso llamadas de voz.

Al ejecutar el archivo en la zona de pruebas, los equipos del SOC podían ver toda la cadena de ejecución en tiempo real, desde el primer clic hasta el robo de credenciales y la interceptación de 2FA. Este nivel de visibilidad es fundamental, porque los indicadores estáticos, como los dominios o los hashes, mutan a diario, pero los patrones de comportamiento se mantienen constantes. El análisis en entornos aislados permite confirmar las amenazas con mayor rapidez, reducir la carga de trabajo de los analistas y ofrecer una mejor cobertura frente a la evolución de los kits de PhaaS, como Salty2FA.

Detener Salty2fa: qué deben hacer los SoC a continuación

Salty2fa muestra la rapidez con la que evoluciona el phishing-as a service y por qué los indicadores estáticos por sí solos no lo detienen. Para los SOC y los líderes de seguridad, la protección significa cambiar el enfoque hacia los comportamientos y la velocidad de respuesta:

  • Confíe en la detección del comportamiento: Realice un seguimiento de los patrones recurrentes, como las estructuras de dominio y la lógica de las páginas, en lugar de perseguir los IOC que cambian constantemente.
  • Detona correos electrónicos sospechosos en una zona de pruebas: La visibilidad de toda la cadena revela el robo de credenciales y los intentos de interceptación 2FA en tiempo real.
  • Refuerce las políticas de MFA: Prefiera los tokens basados en aplicaciones o hardware en lugar de los SMS y la voz, y utilice el acceso condicional para marcar los inicios de sesión peligrosos.
  • Capacite a los empleados sobre los atractivos financieros: Los enganches comunes, como la «corrección de pagos» o el «extracto de facturación», siempre deberían generar sospechas.
  • Integre los resultados de sandbox en su pila: La introducción de datos de ataques en tiempo real en SIEM/SOAR acelera la detección y reduce la carga de trabajo manual.

Al combinar estas medidas, las empresas pueden hacer que Salty2fa pase de ser un riesgo oculto a convertirse en una amenaza conocida y manejable.

Aumente la eficiencia del SOC con un sandboxing interactivo

Las empresas de todo el mundo están recurriendo a entornos de prueba interactivos como ANY.RUN para reforzar sus defensas contra los kits de suplantación de identidad avanzados, como Salty2FA. Los resultados son cuantificables:

  • 3 veces la eficiencia del SOC combinando el análisis interactivo y la automatización.
  • Investigaciones hasta un 50% más rápidas , reduciendo el tiempo de horas a minutos.
  • El 94% de los usuarios informa de una clasificación más rápida , con IOC y TTP más claros para una toma de decisiones segura.
  • Un 30% menos de escalaciones de nivel 1 a nivel 2 , a medida que los analistas subalternos ganan confianza y el personal superior tiene más libertad para centrarse en las tareas críticas.

Con visibilidad en El 88% de las amenazas en menos de 60 segundos , las empresas obtienen la velocidad y la claridad que necesitan para detener la suplantación de identidad antes de que conduzca a una violación importante.

Prueba ANY.RUN hoy : creado para los SOC empresariales que necesitan investigaciones más rápidas, defensas más sólidas y resultados medibles.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.