Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Microsoft y Cloudflare Frenan RaccoonO365, Servicio Global de Phishing

Escrito por Muriel de Juan Lara | Sep 18, 2025 1:15:00 PM

En el mundo de la ciberseguridad, hay noticias que generan un verdadero respiro. Una de ellas ocurrió en septiembre de 2025, cuando Microsoft y Cloudflare unieron fuerzas para desmantelar RaccoonO365, uno de los servicios de phishing-as-a-service (PhaaS) más peligrosos y usados a nivel mundial. Este servicio había sido responsable del robo de miles de credenciales de Microsoft 365 en decenas de países.

En este artículo de TecnetOne, te contamos qué era RaccoonO365, cómo funcionaba, por qué era tan difícil de detener y qué significa para ti que dos gigantes tecnológicos hayan conseguido frenar su operación.

 

¿Qué era RaccoonO365?

 

RaccoonO365 no era un grupo aislado de ciberdelincuentes improvisados, sino un servicio organizado de phishing que operaba bajo el modelo de suscripción. Funcionaba como una plataforma “alquiler” de ataques: cualquier persona, incluso sin conocimientos técnicos avanzados, podía pagar una cuota y acceder a herramientas listas para lanzar campañas masivas de robo de credenciales.

Las suscripciones costaban entre 355 y 999 dólares, y daban acceso a plantillas de correos falsos, páginas web clonadas de Microsoft 365 y soporte técnico para que los atacantes pudieran llevar a cabo campañas de manera casi profesional.

Se calcula que contaba con entre 100 y 200 suscriptores activos, que juntos lograban enviar miles de correos diarios y cientos de millones al año, generando ingresos superiores a los 100.000 dólares en criptomonedas para sus administradores.

 

Cómo funcionaba el ataque

 

El objetivo principal era claro: robar credenciales de Microsoft 365, una de las suites más utilizadas por empresas, gobiernos y usuarios en todo el mundo.

Los atacantes enviaban correos falsos que parecían legítimos, simulando mensajes de seguridad, notificaciones de facturación o incluso documentos compartidos. Al dar clic, las víctimas eran redirigidas a sitios web falsos —338 en total— que imitaban a la perfección la página de inicio de sesión de Microsoft.

Una vez que el usuario ingresaba su correo y contraseña, los datos eran enviados directamente a los servidores controlados por los operadores de RaccoonO365. Desde allí, las credenciales podían usarse para acceder a correos, archivos en OneDrive, documentos sensibles en SharePoint o incluso lanzar ataques posteriores dentro de la misma organización.

 

Títulos relacionados: Copilot en Microsoft Entra: Un Nuevo Horizonte para la Seguridad

 

El alcance del daño

 

Según Microsoft, RaccoonO365 había conseguido robar al menos 5.000 credenciales de Microsoft 365 en 94 países.

Los sectores más afectados fueron:

 

  1. Empresas privadas, que vieron comprometidos datos estratégicos y financieros.

 

  1. Organizaciones de salud, con al menos 20 hospitales y clínicas víctimas. En estos casos, el impacto era aún mayor: retrasos en la atención de pacientes, manipulación de resultados de laboratorio, robo de historiales médicos y riesgo directo para la vida de las personas.

 

  1. Más de 2.300 instituciones estadounidenses, que sufrieron ataques relacionados con estafas fiscales.

 

El impacto económico y en seguridad fue enorme, al punto de que Microsoft decidió asociarse con Health-ISAC, una organización internacional que protege la ciberseguridad del sector salud, para llevar este caso a los tribunales.

 

Cómo se desmanteló RaccoonO365

 

La operación fue coordinada en varias fases:

 

  1. Demanda civil en agosto de 2025: Microsoft presentó una denuncia ante el Tribunal del Distrito Sur de Nueva York, con el objetivo de obtener autorización legal para actuar contra la infraestructura del servicio.

 

  1. Acción judicial contra los sitios web: gracias a la orden del tribunal, Microsoft logró incautar 338 dominios utilizados por los atacantes para alojar las páginas de phishing.

 

  1. Acción técnica de Cloudflare: en septiembre de 2025, Cloudflare eliminó cientos de dominios y cuentas de Worker asociados con RaccoonO365, desmantelando la red que mantenía en línea sus campañas.

 

De esta forma, la combinación de medidas legales y técnicas no solo interrumpió el servicio, sino que también cortó el acceso de los ciberdelincuentes a los datos robados.

 

Quién estaba detrás

 

Durante la investigación, Microsoft identificó a Joshua Ogundipe, un ciudadano nigeriano, como el principal responsable del esquema. Ogundipe no era un amateur: era un programador experimentado que escribía la mayor parte del código, gestionaba las ventas y brindaba soporte a los suscriptores.

Aunque utilizaba dominios falsos para ocultar sus huellas, un descuido en una billetera de criptomonedas filtrada permitió vincularlo con la operación. El caso ya fue referido a las autoridades policiales para que enfrenten a los responsables ante la justicia.

 

El modelo Phishing-as-a-Service (PhaaS)

 

Uno de los aspectos más preocupantes de RaccoonO365 es que representa la evolución del cibercrimen hacia el modelo de “malware como servicio”.

 

  1. Accesibilidad: ya no necesitas ser un hacker experto para lanzar una campaña de phishing. Con una suscripción, cualquier persona puede acceder a herramientas avanzadas.

 

  1. Automatización: las plataformas proporcionan sitios falsos listos para usar, plantillas de correos y scripts automatizados.

 

  1. Escalabilidad: un solo suscriptor podía enviar miles de correos al día, multiplicando el riesgo a escala global.

 

Este modelo democratiza el cibercrimen y lo convierte en una amenaza masiva, donde el número de atacantes potenciales se multiplica de forma alarmante.

 

Conoce más: Ciberataque Impacta a Google, Amazon y Cloudflare

 

¿Qué significa esto para ti?

 

Que Microsoft y Cloudflare hayan logrado frenar RaccoonO365 es una excelente noticia, pero no debe hacerte bajar la guardia. El desmantelamiento de este servicio no significa que el phishing haya desaparecido, sino que otros grupos ya estarán buscando ocupar ese vacío con nuevas variantes.

Como usuario o empresa, estas son algunas recomendaciones clave de TecnetOne:

 

  1. No confíes ciegamente en los correos electrónicos: verifica siempre la dirección del remitente, los enlaces y cualquier solicitud sospechosa de credenciales.

 

  1. Habilita la autenticación multifactor (MFA): incluso si tus credenciales son robadas, este paso adicional puede impedir que los atacantes accedan a tus cuentas.

 

  1. Capacita a tus empleados: la mayoría de los ataques de phishing se aprovechan del error humano. La formación constante es clave.

 

  1. Monitorea y protege tu infraestructura: usa soluciones avanzadas de detección y respuesta que identifiquen patrones de phishing y accesos no autorizados.

 

  1. Mantente informado: el panorama de amenazas evoluciona a gran velocidad. Aliarte con expertos, como en TecnetOne, te ayudará a anticipar riesgos.

 

Conclusión

 

El caso de RaccoonO365 nos recuerda que el phishing sigue siendo uno de los ataques más efectivos y rentables para los ciberdelincuentes. La alianza entre Microsoft y Cloudflare demuestra que la cooperación entre empresas tecnológicas, justicia y sector privado es posible y necesaria para frenar estas amenazas.

Sin embargo, la verdadera protección empieza contigo: la ciberseguridad no se trata solo de tecnología, sino de cultura, hábitos y prevención. Si refuerzas tus prácticas y adoptas una mentalidad proactiva, podrás estar siempre un paso adelante de quienes buscan robar tu información.

En TecnetOne creemos que la mejor defensa es la preparación constante. Y este caso es un recordatorio claro de por qué nunca debes bajar la guardia en el mundo digital.
Ver post completo