Los ladrones de información como servicio impulsan los ataques de identidad a niveles récord
Según los investigadores de ciberseguridad de eSentire, el malware ladrón de información y los kits de herramientas de phishing avanzados están detrás de un enorme aumento del 156% en los ciberataques dirigidos a los inicios de sesión de los usuarios y la información de identidad, afectando tanto a los trabajadores de oficina como a los remotos.
El informe de eSentire, compartido con Hackread.com, también señaló que los atacantes se centran cada vez más en robar detalles de inicio de sesión y cookies de sesión, que luego utilizan para cometer delitos financieros como Business Email Compromise ( BEC ) y robo de criptomonedas.
Un factor clave que impulsa este aumento, según el informe (PDF), es la disponibilidad de plataformas de phishing como servicio (PhaaS), que reducen la experiencia técnica y el coste que necesitan los delincuentes para lanzar ataques. Plataformas como Tycoon 2FA , por ejemplo, ofrecen páginas de phishing preconfiguradas para plataformas populares como Microsoft 365 y Google Workspace por tan solo 200 o 300 dólares al mes.
Estos servicios utilizan técnicas inteligentes de Adversario en el Medio ( AitM ), que actúan como intermediarios para capturar credenciales de inicio de sesión e incluso tokens de autenticación en tiempo real, a menudo evadiendo la autenticación multifactor (MFA) en cuestión de minutos. Los casos de BEC, en particular, han experimentado un aumento interanual del 60%, representando el 41% de todos los ataques en el primer trimestre de 2025.
Un reciente informe sobre el estado de la seguridad de los navegadores, elaborado por Menlo Security, identificó más de 752 000 ataques de phishing basados en navegadores en más de 800 empresas, lo que representa un aumento del 140 % con respecto al año anterior, lo que pone de manifiesto cómo los navegadores se han convertido en un objetivo importante. Esta tendencia también incluye a un ladrón de información emergente llamado Acreed, detectado por primera vez en febrero de 2025, que ahora compite en estos mercados clandestinos en línea, especialmente después de que las fuerzas del orden desmantelaran la infraestructura de otro importante ladrón de información, Lumma Stealer , en mayo de 2025.
La rápida transición de ataques oportunistas a operaciones sistemáticas orientadas a servicios significa que los delincuentes están pasando del robo de credenciales a la comisión de fraude en cuestión de horas. Dado que el 78 % de las operaciones PhaaS identificadas se originan en Estados Unidos (aunque esto suele reflejar la ubicación del servidor, no la base real del atacante), el alcance global de estas amenazas es significativo.
Se recomienda encarecidamente a organizaciones e individuos que refuercen su ciberseguridad. Esto incluye la adopción de métodos de autenticación resistentes al phishing, la monitorización continua de intentos o cambios inusuales de inicio de sesión y la alerta ante correos electrónicos y archivos adjuntos no solicitados. La velocidad y la sofisticación de estos ataques basados en la identidad hacen que las medidas de defensa proactivas sean más cruciales que nunca.
Este informe refleja eficazmente las tendencias observadas por el Centro de Ciberdefensa de Ontinue durante el último año. Con el auge de una lucrativa economía sumergida impulsada por plataformas de phishing como servicio (PhaaS) como Tycoon2FA, incluso los actores de amenazas poco cualificados pueden ahora obtener acceso inicial sin explotar vulnerabilidades técnicas, afirmó Will Bailey , analista sénior de SOC de Ontinue.
“ Como resultado, el phishing y los ataques basados en la identidad se han convertido en un juego del gato y el ratón entre atacantes y defensores ” , advirtió Will. “ Esto subraya la necesidad crítica de un servicio de Detección y Respuesta Gestionada (MDR) 24/7 que incluya detección y respuesta ante amenazas de identidad, permitiendo a las organizaciones revocar tokens de sesión y finalizar sesiones activas en tiempo real ” , aconsejó.
HackRead
