Cuando creíamos que la autenticación en dos pasos nos ofrecía un escudo casi impenetrable, surge una amenaza que vuelve a ponerla en jaque. Tycoon 2FA, una plataforma de phishing como servicio (PhaaS) ya conocida por los expertos en ciberseguridad, ha dado un nuevo salto evolutivo. Lejos de desaparecer, esta herramienta se ha fortalecido con mejoras que la hacen aún más difícil de detectar y más efectiva a la hora de burlar protecciones como la autenticación multifactor en Microsoft 365 y Gmail.
Descubierta originalmente en octubre de 2023 por los investigadores de Sekoia, Tycoon 2FA ya destacaba por su capacidad para interceptar sesiones activas mediante técnicas de reenvío en tiempo real. Ahora, según informes recientes, los actores detrás de esta plataforma han incorporado nuevas funciones que elevan su nivel de sofisticación, permitiéndole esquivar controles de seguridad avanzados y aumentar su tasa de éxito en campañas de phishing dirigidas.
Uno de los primeros cambios que llama la atención en Tycoon 2FA es el uso de caracteres Unicode invisibles para esconder datos binarios dentro del código JavaScript. Sí, como lo lees: datos camuflados que están ahí, pero no los ves. Según reportó Juniper Threat Labs en febrero, esta técnica permite que el código malicioso se decodifique y ejecute como si nada en tiempo real, sin levantar sospechas. Así logran pasar por debajo del radar tanto de los analistas humanos como de las herramientas automáticas de detección que buscan patrones.
Uso de Unicode para ocultar fragmentos de código malicioso
Otro ajuste interesante es que abandonaron Cloudflare Turnstile (el típico sistema de verificación CAPTCHA) y lo reemplazaron por una versión que alojan ellos mismos. Esta nueva versión se dibuja directamente en un lienzo HTML5 con elementos aleatorios, lo que hace que sea mucho más difícil de identificar o marcar por sistemas de reputación de dominios. Además, les da más libertad para personalizar la experiencia que ve el usuario.
Y como si fuera poco, también integraron un sistema de JavaScript anti-depuración. ¿Qué significa eso? Que si el navegador intenta analizar o modificar el comportamiento del código (por ejemplo, usando herramientas como PhantomJS o Burp Suite), el sistema lo detecta y bloquea automáticamente ciertas acciones.
Por último, si detectan algo sospechoso (como un bot de seguridad o alguien que no pasa su CAPTCHA personalizado), en lugar de mostrar el contenido real, redirigen al usuario a una página falsa o incluso a un sitio legítimo, como rakuten.com. Todo para mantener el engaño y no levantar sospechas.
La nueva lógica anti-depuración del kit (Fuente: Trustwave)
Aunque cada una de estas técnicas por separado ya se ha visto antes, lo que realmente marca la diferencia es cómo las combinan. Juntas hacen que detectar el ataque, analizar su funcionamiento y rastrear la infraestructura detrás del phishing sea mucho más difícil. Y eso, en la práctica, complica mucho cualquier intento de bloquear o desmantelar sus operaciones.
Conoce más sobre: Seguridad Avanzada en Microsoft 365 con TecnetProtect
Los archivos SVG están empezando a convertirse en los nuevos favoritos para hacer phishing. En otro informe relacionado, se detectó un aumento enorme en ataques que usan estos archivos gráficos (sí, esos que normalmente se usan para logos o iconos en la web) como señuelos maliciosos. Plataformas como Tycoon2FA, Mamba2FA y Sneaky2FA están detrás de esta tendencia, aprovechando este formato para colar código sospechoso sin levantar alarmas.
¿El dato más impactante? Desde abril de 2024 hasta marzo de 2025, los ataques con SVG maliciosos se dispararon un 1800%. Es un salto gigante que deja claro que los atacantes están apostando fuerte por este tipo de archivos como parte de sus nuevas tácticas.
Los atacantes están usando archivos SVG maliciosos disfrazados de cosas que parecen inofensivas: un mensaje de voz, el logo de una empresa o el típico ícono de un documento en la nube. Pero lo que mucha gente no sabe es que los SVG no son solo imágenes: también pueden llevar JavaScript escondido dentro, y ese código se puede ejecutar automáticamente en el navegador con solo abrir el archivo.
Para que ese código pase desapercibido, los atacantes lo enredan con técnicas como base64, ROT13, cifrado XOR e incluso código basura. Todo esto hace que sea mucho más difícil para los sistemas de seguridad detectar lo que realmente está pasando detrás de escena.
¿El objetivo? Muy simple: redirigir a quien recibe el archivo a una página falsa que imita el inicio de sesión de Microsoft 365, para robar sus credenciales.
Un ejemplo concreto que se vio recientemente fue una supuesta notificación de Microsoft Teams, avisando de un correo de voz nuevo. El mensaje venía con un archivo SVG adjunto, disfrazado como si fuera un mensaje de audio. Cuando la víctima hacía clic, se abría una ventana del navegador que ejecutaba el código malicioso y los enviaba directo a una página de inicio de sesión falsa de Office 365. Un engaño muy bien armado.
Con el crecimiento de las plataformas de phishing como servicio (PhaaS) y el uso cada vez más común de archivos SVG en estos ataques, es más importante que nunca estar alerta y no confiar ciegamente en lo que llega a nuestra bandeja de entrada. Verificar quién envía un correo y no abrir archivos sospechosos debería ser parte del día a día.
Una buena forma de protegerse es bloquear o al menos marcar los archivos SVG adjuntos desde el correo electrónico antes de que lleguen al usuario. Y, por supuesto, usar métodos de autenticación que no puedan ser engañados tan fácilmente, como los dispositivos FIDO2, que ofrecen una capa extra de seguridad mucho más difícil de burlar para los atacantes.
Pero más allá de las buenas prácticas individuales, contar con una solución de seguridad integral para el correo electrónico puede marcar la diferencia entre una amenaza contenida y una brecha grave. Aquí es donde entra en juego TecnetProtect, que ofrece protección avanzada contra amenazas dirigidas al correo electrónico corporativo.
Por ejemplo, TecnetProtect integra la tecnología de Perception Point, una plataforma especializada en análisis profundo de amenazas en correos electrónicos, colaboración en la nube y mensajería instantánea. Esta tecnología utiliza mecanismos de detección basados en CPU-level emulation, análisis dinámico y escaneo estático para identificar amenazas en tiempo real, incluidas las de día cero, ataques BEC (Business Email Compromise), archivos maliciosos, URLs sospechosas y más. Todo esto ocurre en una fracción de segundo, sin generar fricción en la experiencia del usuario.
TecnetProtect analiza el contenido de los correos, evalúa el comportamiento de los archivos adjuntos y enlaces, y aplica inteligencia contextual para identificar patrones sospechosos o campañas maliciosas activas. Esto no solo protege frente a phishing tradicional, sino también frente a variantes sofisticadas como los ataques que usan archivos SVG, HTML adjuntos o incluso tácticas de suplantación de identidad más elaboradas.