Las campañas de phishing están subiendo de nivel, y ahora están usando una herramienta llamada Rockstar 2FA, diseñada específicamente para robar credenciales de cuentas de Microsoft 365. Lo preocupante es que esta herramienta no solo roba nombres de usuario y contraseñas, sino que también puede saltarse la autenticación en dos factores (MFA), algo que muchos pensábamos que nos mantenía a salvo.
El truco que usan se llama "Adversario en el Medio" (AitM), y básicamente lo que hacen es interceptar tanto las credenciales como las cookies de sesión. En otras palabras, aunque uses MFA, los atacantes pueden hacerse pasar por ti y entrar a tu cuenta sin problema.
Rockstar 2FA es al parecer, una versión mejorada de un kit de phishing más antiguo conocido como DadSec o Phoenix. Microsoft ya está investigando a los responsables detrás de esta herramienta y los ha catalogado como Storm-1575. Esto deja claro que estos ataques no son cosa de aficionados: los ciberdelincuentes están organizados y trabajando como si fueran empresas de tecnología, pero al servicio del crimen.
Rockstar 2FA: Una Plataforma PhaaS Avanzada
Rockstar 2FA, al igual que otros kits de phishing, se promociona en plataformas como ICQ, Telegram y Mail.ru, y se ofrece bajo un modelo de suscripción: $200 por dos semanas o $350 por un mes. Este modelo hace que cualquier persona, incluso sin conocimientos técnicos, pueda lanzar campañas de phishing a gran escala con herramientas ya preparadas y fáciles de usar.
Entre las "funciones estrella" de Rockstar 2FA están cosas como saltarse la autenticación de dos factores (2FA), recopilar cookies relacionadas con 2FA, protección contra bots, plantillas de inicio de sesión que imitan servicios populares, enlaces supuestamente indetectables (FUD) y hasta integración con bots de Telegram para facilitar el control.
Además, el kit incluye un "panel de administración moderno y fácil de usar" que permite a los atacantes gestionar todo en un solo lugar: pueden monitorear sus campañas, generar enlaces y archivos adjuntos, e incluso personalizar los temas visuales de los enlaces para que se vean más auténticos.
Los ataques detectados usan diferentes métodos para llegar a las víctimas, como URLs maliciosas, códigos QR y documentos adjuntos enviados desde cuentas previamente comprometidas o herramientas masivas de spam. Los correos suelen venir disfrazados con plantillas bastante comunes, como notificaciones de intercambio de archivos o solicitudes de firma electrónica.
Para hacer más difícil su detección, los atacantes utilizan redirecciones legítimas, como enlaces acortados, redirecciones abiertas o servicios de reescritura de URLs, logrando así pasar desapercibidos por muchos filtros antispam. También integran controles antibot, como el uso de Cloudflare Turnstile, para evitar que las herramientas automatizadas analicen las páginas de phishing de manera efectiva. Todo está diseñado para que estas campañas sean tan eficientes y discretas como sea posible, lo que las hace especialmente peligrosas.
Cadena de Ataque (Fuente: Trustwave)
La plataforma detrás de estos ataques utiliza servicios legítimos como Atlassian Confluence, Google Docs Viewer, LiveAgent, Microsoft OneDrive, OneNote y Dynamics 365 Customer Voice para alojar los enlaces de phishing. Básicamente, se aprovechan de la confianza que la mayoría de las personas tiene en estas herramientas para que los enlaces parezcan completamente inofensivos.
Lo más inquietante es que las páginas de phishing están diseñadas para parecerse casi idénticas a las páginas de inicio de sesión reales de las marcas que están imitando. Aunque el código HTML está lleno de trucos para esconder su verdadera naturaleza, la experiencia visual para el usuario es prácticamente indistinguible.
Cuando alguien ingresa sus datos en una de estas páginas falsas, toda la información, como usuario y contraseña, se envía directamente al servidor controlado por los atacantes. A partir de ahí, no solo se roban las credenciales, sino también la cookie de sesión de la cuenta comprometida, lo que les permite acceder a la cuenta como si fueran el usuario real.
Te podrá interesar leer: Seguridad Avanzada en Microsoft 365 con TecnetProtect
El Impacto de PhaaS en la Ciberseguridad
El Phishing-as-a-Service tiene un impacto profundo en la ciberseguridad, tanto a nivel personal como empresarial. Estos son algunos de los efectos más preocupantes:
1. Mayor frecuencia de ataques: Al reducir la dificultad técnica, el PhaaS permite que más personas se unan a las filas de los atacantes. Esto ha provocado un aumento significativo en el volumen de correos de phishing y ataques relacionados.
2. Ataques más sofisticados: Con herramientas como Rockstar 2FA, incluso atacantes inexpertos pueden llevar a cabo campañas de phishing avanzadas, utilizando técnicas que antes solo estaban al alcance de expertos.
3. Costos para las empresas: Las organizaciones enfrentan costos elevados relacionados con la pérdida de datos, interrupciones del servicio y daño reputacional. Según un informe de IBM, el costo promedio de una brecha de datos en 2024 es de $4.5 millones de dólares, y el phishing es una de las principales causas.
4. Pérdida de confianza: Los ataques de phishing exitosos erosionan la confianza de los usuarios en las plataformas digitales, lo que afecta tanto a empresas como a consumidores.
¿Cómo las empresas pueden protegerse del phishing avanzado y PhaaS?
Los ataques de phishing son cada vez más inteligentes, y no podemos quedarnos atrás. Si los ciberdelincuentes están perfeccionando sus tácticas, es hora de que tú también refuerces tus defensas. Aquí tienes algunas recomendaciones prácticas (y sencillas) para mantenerte protegido:
1. Usa autenticación más segura
La autenticación en dos pasos (2FA) es genial, pero no perfecta. Dale un nivel extra de protección a tus cuentas con métodos como apps de autenticación o llaves físicas como YubiKey. Estas herramientas hacen que sea mucho más difícil para los atacantes entrar.
2. Refuérzate con herramientas anti-phishing
El phishing puede ser difícil de detectar, pero no estás solo en esta batalla. Soluciones como TecnetProtect ofrecen una capa adicional de seguridad para tu correo electrónico, bloqueando enlaces maliciosos y mensajes sospechosos antes de que lleguen a tu bandeja de entrada. Además, con funciones de respaldo y recuperación, también te cubren las espaldas en caso de un ataque.
3. Cuida lo que abres en tu correo
No todo lo que llega a tu bandeja de entrada es lo que parece. Antes de hacer clic en un enlace, revisa la dirección del remitente. Si algo no cuadra, mejor no abras nada. Y recuerda: si no esperabas un archivo adjunto, no lo descargues.
4. Capacítate en ciberseguridad
Esto aplica especialmente para empresas. Educar a tu equipo es clave. Si todos aprenden a identificar correos y sitios sospechosos, será más difícil que los atacantes tengan éxito.
5. Siempre revisa las URLs
Antes de ingresar datos en cualquier sitio, asegúrate de que la dirección web sea la correcta. No confíes ciegamente en el candadito de "https://". Los atacantes saben cómo usar dominios que parecen legítimos pero son falsos. Revísalo dos veces.
Conclusión: Protege lo que importa
El Phishing-as-a-Service está cambiando las reglas del juego en la ciberseguridad, y no precisamente para bien. Herramientas como Rockstar están haciendo que lanzar ataques avanzados sea tan fácil como usar una app, y eso debería preocuparnos a todos.
Las herramientas como TecnetProtect no solo ofrecen filtros avanzados para combatir el phishing, sino que también te brindan la tranquilidad de contar con respaldos automáticos de tus datos críticos. Porque al final del día, la mejor defensa no solo es prevenir el ataque, sino estar preparado para cualquier escenario. ¡Haz que tus cuentas y datos estén siempre un paso adelante de los ciberdelincuentes!
