Muy atentos, porque hay un nuevo enemigo suelto y está apuntando directo a quienes usan Gmail y Outlook: se llama Astaroth, y no es cualquier intento de phishing. Este kit tan sofisticado ha logrado hacer lo que parecía imposible: burlar la Autenticación en Dos Factores (2FA), esa capa extra de seguridad que muchos creíamos impenetrable.
Desde enero de 2025, Astaroth ha estado atacando todo tipo de cuentas usando técnicas que capturan contraseñas y códigos en tiempo real, según un informe de SlashNext. ¿Cómo lo hace? A través de un método conocido como proxy inverso, que básicamente se mete en medio de la conexión entre tú y el servidor legítimo. El resultado: los hackers consiguen tus credenciales y los tokens de acceso sin que te des cuenta… y sin que el sistema levante ninguna alerta.
¿Y cómo caes en la trampa? Fácil. Todo empieza cuando haces clic en un enlace malicioso (de esos que parecen legítimos). Al entrar, te lleva a una página que se ve idéntica a la de inicio de sesión de Google o Microsoft. Incluso tiene un certificado SSL válido, así que el candadito de "sitio seguro" aparece como si nada. Pero en realidad, todo está montado para capturar lo que escribes.
En cuanto metes tu usuario, contraseña y código 2FA, los atacantes lo reciben en tiempo real, sin necesidad de tocar tu dispositivo ni instalar nada raro. Así, entran a tu cuenta como si fueran tú, sin levantar sospechas.
Y aquí es donde Astaroth marca la diferencia. Mientras los ataques clásicos se conforman con robar contraseñas, este va un paso más allá: también se queda con los tokens de autenticación, esos que se generan por app o te llegan por SMS.
Es como pasar de un ladrón amateur a un espía profesional. Ya no hablamos solo de engañar con una página falsa, sino de tecnologías complejas como proxies inversos y captura dinámica de datos. Es phishing, pero a otro nivel.
Astaroth no solo es peligroso, también está al alcance de cualquiera
Y ojo, que esto no se queda solo en la parte técnica. Lo que de verdad preocupa es lo fácil que cualquiera puede conseguir Astaroth. Literalmente se está vendiendo como si fuera un software más en canales de Telegram, por unos 2.000 dólares, e incluye de todo: soporte técnico, actualizaciones por seis meses… como si fuera un paquete premium.
Además, viene con cosas bastante turbias como alojamiento “bulletproof”, un tipo de hosting preparado para resistir intentos de bloqueo o eliminación por parte de las autoridades. En resumen, un servicio completo para hacer daño sin dejar rastro.
La buena noticia es que, aunque Astaroth representa una amenaza seria incluso para sistemas que antes considerábamos seguros, aún hay formas de protegerse. Los expertos siguen insistiendo en lo básico: usar apps autenticadoras en vez de SMS, desconfiar de enlaces sospechosos y no abrir correos que no esperabas, por más legítimos que parezcan.
Ni la cámara se salva: ¿cómo pueden espiarte sin que lo sepas?
Ya parece rutina: cada semana aparece una nueva alerta sobre algún malware rondando por Internet o kits de hacking que se venden como si nada por Telegram. Y lo peor es que ya no se trata solo de robar contraseñas o vaciarte la cuenta del banco… ahora también pueden activar la cámara de tu móvil o tu portátil sin que te des cuenta.
Sí, como lo lees. La intención es clara: grabar imágenes privadas y luego chantajearte con ellas, pidiéndote dinero para no hacerlas públicas. Da miedo solo de pensarlo, pero lo cierto es que este tipo de casos se están viendo con más frecuencia de lo que nos gustaría.
Y no hace falta hacer nada raro para caer. A veces, todo empieza por descargar una app poco conocida o simplemente hacer clic en un enlace que parecía inofensivo. A partir de ahí, se instala un software malicioso en tu dispositivo y los atacantes pueden activar la cámara sin que se encienda la luz ni te enteres.
Aunque los dispositivos Android suelen ser más vulnerables, ningún equipo está completamente a salvo, ni siquiera los iPhone. Por eso mucha gente ha empezado a cubrir sus cámaras con una pegatina o un protector físico. Puede parecer una exageración, pero en estos tiempos es mejor pasarse de precavido que lamentarlo después. Y no solo hablamos de móviles u ordenadores: hasta las cámaras de seguridad del hogar pueden ser un blanco fácil si no están bien protegidas.
