Una nueva y peligrosa herramienta de phishing llamada Astaroth ha comenzado a circular en los entornos de ciberdelincuencia, destacándose por su capacidad para burlar la autenticación de dos factores (2FA) con una precisión alarmante. Descubierta a comienzos de 2025, esta amenaza emplea técnicas como el secuestro de sesiones y la interceptación de credenciales en tiempo real para comprometer cuentas en servicios ampliamente utilizados como Gmail, Yahoo y Microsoft 365.
Astaroth opera utilizando un proxy inverso al estilo de evilginx, colocándose silenciosamente entre el usuario y el sitio legítimo de inicio de sesión. Así, puede robar nombres de usuario, contraseñas, códigos de 2FA y cookies de sesión, permitiendo a los atacantes acceder a cuentas autenticadas sin necesidad de pasar por controles adicionales. Lejos de ser una amenaza lejana o extremadamente técnica, este kit de phishing representa una evolución tangible del fraude digital, capaz de evadir medidas que hasta ahora se consideraban seguras.
¿Por qué Astaroth es tan preocupante?
Lo que realmente hace que Astaroth destaque frente a otros kits de phishing es su habilidad para actuar en tiempo real. Mientras que la mayoría de los kits tradicionales se limitan a robar nombres de usuario y contraseñas (lo cual ya es grave), suelen quedarse cortos cuando se topan con cuentas protegidas con autenticación de dos factores (2FA). Astaroth, en cambio, va un paso más allá: puede interceptar esos códigos de 2FA en el momento exacto en que el usuario los introduce y reenviarlos directamente al atacante.
Según un investigador en seguridad, los atacantes están usando proxies inversos para hacerse pasar por sitios legítimos. Así logran capturar todo: usuario, contraseña, código de autenticación y hasta cookies de sesión. Con eso en sus manos, básicamente toman el control de la cuenta como si fueran el verdadero usuario, antes de que los sistemas de seguridad puedan hacer algo al respecto.
Entre los puntos más peligrosos de Astaroth están:
-
Captura instantánea de credenciales y cookies de sesión
-
Uso de sitios phishing con certificados SSL, que a simple vista parecen seguros
-
Y su capacidad de robar códigos de autenticación sin importar el método: ya sea SMS, notificaciones push o apps como Google Authenticator.
Podría interesarte leer: Nuevos Kits de Phishing que Verifican Víctimas en Tiempo Real
¿Cómo funciona el ataque?
Todo arranca cuando la víctima hace clic en un enlace de phishing que parece legítimo (nada fuera de lo común) y termina siendo redirigida a un servidor controlado por los atacantes. Este servidor actúa como un proxy inverso, es decir, se pone entre el usuario y el sitio web real, sin que nadie se dé cuenta.
Como el sitio está protegido con certificados SSL, el navegador muestra el típico candadito de seguridad. A simple vista, todo parece seguro. Pero en realidad, el usuario está entregando sus credenciales y códigos de 2FA directamente a los atacantes. En cuanto se ingresan los datos, Astaroth los captura y envía una alerta en tiempo real al atacante, ya sea a través de un panel web o por servicios de mensajería como Telegram.
Lo preocupante de todo esto es que no hace falta ser un hacker experto para ejecutar este tipo de ataque. Kits como Astaroth están diseñados para que cualquier persona con un poco de conocimientos técnicos pueda lanzar una campaña efectiva.
Al aprovechar este sistema de interceptación en tiempo real y secuestro de sesiones, los atacantes pueden pasar por alto incluso las defensas más avanzadas, incluida la tan recomendada autenticación multifactor.
En la fase final del ataque, utilizan las cookies de sesión robadas para clonar la sesión del usuario. Como ya está autenticada, el sistema no pide otra verificación. El atacante entra directo, sin obstáculos, como si fuera el verdadero dueño de la cuenta.
Tal como lo explicó un experto en ciberseguridad, lo más inquietante de Astaroth es su nivel de sofisticación: hace que muchos de los consejos de seguridad que solemos dar (como verificar el dominio o confiar en el candado del navegador) sean mucho menos efectivos frente a este tipo de amenaza.
¿Por qué los métodos tradicionales de protección ya no bastan?
Además de ser técnicamente muy avanzado, Astaroth viene con extras bastante molestos: servidores diseñados para resistir intentos de cierre, evasión de sistemas como reCAPTCHA y hasta opciones personalizadas de alojamiento que lo hacen mucho más difícil de eliminar.
En foros de ciberdelincuencia y grupos de Telegram, se vende como si fuera un software premium, con soporte técnico incluido durante seis meses por unos $2000. Así de organizado está el mercado.
El problema para las autoridades es que no están lidiando con un solo servidor fácil de tumbar. Astaroth se distribuye a través de una red descentralizada, usando plataformas encriptadas que ofrecen mucho anonimato. Eso hace que rastrear a los responsables o frenar la venta del kit sea, en la práctica, una tarea titánica.
Además, los ciberdelincuentes suelen alojar su infraestructura en países donde las leyes son más permisivas o directamente donde no hay cooperación con autoridades internacionales. Esto les da libertad para seguir operando sin que nadie les ponga freno fácilmente.
En resumen: Astaroth no solo es difícil de detectar y detener a nivel técnico, sino que también está protegido por un entorno digital que complica mucho la tarea a las fuerzas del orden. Y mientras tanto, se sigue vendiendo y usando sin demasiadas barreras.
