Aunque hablamos de phishing desde hace años, lejos de volverse algo anticuado, esta técnica sigue siendo una de las mayores amenazas en ciberseguridad. Un nuevo estudio lo confirma: incluso las organizaciones más maduras, con sistemas de protección avanzados y equipos expertos, siguen siendo vulnerables a ataques diseñados para robar información sensible mediante engaños.

La investigación analizó intentos de autenticación a lo largo de 26 meses utilizando registros de FastPass (una tecnología resistente al phishing) para identificar actividad maliciosa con precisión. Los resultados fueron contundentes: las capas de seguridad tradicionales como los filtros de correo, la protección de endpoints o la capacitación interna, no alcanzan por sí solas para frenar la amenaza.

Además, el estudio realizado por Okta detectó que organizaciones estadounidenses están entre las más atacadas y que Office 365 continúa siendo el principal objetivo para los intentos de engaño en sistemas de inicio de sesión único (SSO). A esto se suma otro dato preocupante: apenas el 40% de los usuarios de Okta emplea métodos de autenticación resistentes al phishing al menos una vez al mes, dejando un amplio margen para ataques exitosos.

Para agravar el panorama, muchos de estos incidentes ni siquiera son detectados por las empresas hasta que reciben una notificación del sistema. Eso demuestra que el phishing no solo persiste, sino que se adapta. Como señala la investigación, los servicios maliciosos se compran fácilmente en mercados clandestinos, permitiendo que cualquier actor con pocos conocimientos pueda ejecutar ataques avanzados.

Los kits “plug-and-play” que rompen el segundo factor de autenticación

Uno de los casos más preocupantes de servicios maliciosos a la venta es el de Tycoon 2FA. Se trata de un kit de phishing-as-a-service (PhaaS) que ya ha sido utilizado en más de 64.000 ataques este año, muchos dirigidos contra cuentas corporativas de Microsoft 365 y Gmail. Lo peligroso es que no requiere habilidades técnicas: cualquiera con un navegador puede desplegarlo. El kit crea páginas de login falsas, monta servidores proxy inversos y, cuando la víctima ingresa sus credenciales (incluido el segundo factor), exfiltra esa información en tiempo real a los servidores legítimos, dando al atacante pleno acceso a la sesión.

Otro ejemplo reciente es Sneaky 2FA, que incorpora una técnica llamada Browser‑in‑the‑Browser (BitB). Esta técnica permite abrir ventanas emergentes de navegador falsas que simulan de forma convincente las páginas oficiales de login, incluyendo la barra de dirección real y mecanismos como CAPTCHA, con el fin de robar credenciales de cuentas, por ejemplo, de Microsoft. Tras pasar una supuesta verificación, la víctima ve un botón aparentemente legítimo (como “Iniciar sesión con Microsoft”) para acceder a un documento, pero al hacer clic, se inserta una ventana falsa con un formulario de login: todo está diseñado para engañar de forma realista.

Estos dos casos evidencian que los kits de phishing han evolucionado y ahora también interceptan o engañan el segundo factor. La barrera que representaba la autenticación de dos factores (2FA) basada en SMS, aplicaciones u otro método tradicional, ya no asegura la protección.