Sneaky2FA evoluciona: el kit PhaaS añade ataques Browser-in-the-Browser para eludir MFA

Introducción

En un movimiento que demuestra la constante evolución de las herramientas de phishing, el kit phishing-as-a-service (PhaaS) conocido como Sneaky2FA ha incorporado recientemente funcionalidades de Browser-in-the-Browser (BitB), elevando significativamente el nivel de sofisticación de los ataques dirigidos a la obtención de credenciales y la elusión de mecanismos de autenticación multifactor (MFA). Esta actualización, ampliamente difundida en foros clandestinos y canales de Telegram orientados a cibercriminales, pone de manifiesto la tendencia creciente de los actores de amenazas a facilitar campañas de phishing cada vez más difíciles de detectar tanto para usuarios finales como para sistemas de defensa automatizados.

Contexto del Incidente o Vulnerabilidad

Sneaky2FA ha estado ganando popularidad entre los ciberdelincuentes por ofrecer una plataforma integral para la realización de ataques de phishing altamente personalizados. Su propuesta como servicio (PhaaS) rebaja la barrera técnica de entrada, permitiendo que incluso actores con conocimientos limitados desplieguen campañas complejas y dirigidas. La reciente integración de la técnica BitB amplía el abanico de metodologías de engaño, permitiendo a los atacantes simular ventanas de inicio de sesión genuinas de proveedores de servicios como Microsoft 365, Google Workspace, Okta o cualquier portal que implemente MFA.

Esta evolución coincide con la creciente adopción empresarial de soluciones de autenticación multifactor para mitigar el riesgo de compromiso de credenciales, lo que ha llevado a los grupos de amenazas a desarrollar herramientas orientadas específicamente a eludir estos controles de seguridad.

Detalles Técnicos

El componente principal de la nueva funcionalidad de Sneaky2FA es la implementación de ataques Browser-in-the-Browser (BitB), una técnica descrita por primera vez en profundidad en 2022 y catalogada bajo la TTP MITRE ATT&CK T1566.002 (Spearphishing via Service). Esta técnica permite incrustar una ventana de navegador falsa dentro de una web maliciosa, replicando pixel a pixel la interfaz del proveedor de autenticación legítimo, incluyendo la barra de dirección y los certificados HTTPS simulados.

A nivel operativo, Sneaky2FA automatiza la generación de plantillas BitB para múltiples servicios. Los atacantes pueden seleccionar el proveedor objetivo y personalizar el dominio y la apariencia visual para mimetizar el entorno corporativo de la víctima. El flujo típico incluye:

– Envío de un enlace de phishing por correo, SMS o mensajería instantánea.
– Redirección a una página que carga la falsa ventana BitB.
– Captura en tiempo real de credenciales y tokens de MFA, mediante técnicas de proxy inverso y manipulación de sesiones.
– Opcionalmente, reenvío automático de los datos capturados a herramientas como Metasploit o Cobalt Strike para explotación posterior.

Los Indicadores de Compromiso (IoC) asociados incluyen URLs maliciosas con dominios typo-squatting, certificados TLS autofirmados o de proveedores gratuitos, y patrones de tráfico HTTP(S) que revelan la intermediación de proxies de phishing.

Impacto y Riesgos

La incorporación de BitB a Sneaky2FA incrementa drásticamente la tasa de éxito de los ataques de phishing dirigidos a entornos empresariales. Según datos de campañas recientes, hasta un 35% de los usuarios expuestos a ventanas BitB no logran identificar el engaño, incluso tras recibir formación en concienciación. La capacidad de interceptar tokens de MFA en tiempo real posibilita ataques de compromiso de cuenta (ATO) que superan las barreras de seguridad tradicionales, facilitando movimientos laterales, exfiltración de datos y ataques de ransomware.

El riesgo se extiende a sectores regulados bajo legislaciones como GDPR y NIS2, donde una brecha puede traducirse en sanciones económicas superiores a los 20 millones de euros o el 4% de la facturación global anual.

Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, se recomienda:

– Implementar autenticación multifactor basada en hardware (FIDO2, YubiKey) en lugar de SMS o aplicaciones móviles, que son susceptibles a proxying y phishing.
– Configurar detecciones avanzadas en soluciones EDR y gateways de correo para identificar patrones de BitB y redirecciones sospechosas.
– Adoptar políticas de Zero Trust, con verificación continua de identidad y contexto.
– Realizar campañas de concienciación específicas sobre ataques BitB, mostrando ejemplos reales y promoviendo la verificación manual de la barra de direcciones.
– Monitorizar logs en tiempo real en busca de patrones anómalos de inicio de sesión y acceso fuera de contexto geográfico.

Opinión de Expertos

Varios analistas del sector, como los investigadores de Proofpoint y Mandiant, advierten que la popularización de kits PhaaS con capacidades BitB marca un punto de inflexión en la amenaza del phishing. “La automatización y personalización que ofrecen servicios como Sneaky2FA convierten el phishing en un problema estructural, no solo humano”, señala un analista de amenazas de Kaspersky. Desde ENISA, se recalca la necesidad de ir más allá de la formación del usuario y apostar por controles técnicos robustos y autenticación resistente al phishing.

Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que los controles basados en conocimiento (contraseñas, OTP) son insuficientes ante adversarios motivados y con acceso a herramientas como Sneaky2FA. Es crítico revisar los modelos de gestión de identidad y acceso (IAM), reforzar la monitorización y responder rápidamente ante cualquier señal de compromiso. Para los usuarios, el mensaje es claro: ninguna ventana emergente debe asumirse como legítima sin una verificación explícita, y cualquier petición inesperada de credenciales debe considerarse sospechosa.

Conclusiones

La evolución de Sneaky2FA con capacidades BitB representa una sofisticación alarmante en el arsenal de los ciberdelincuentes, desafiando las defensas tradicionales y obligando a las empresas a replantear sus estrategias de protección de identidad. Ante la proliferación de kits PhaaS avanzados, la combinación de autenticación resistente al phishing, detección proactiva y concienciación especializada se convierte en el pilar fundamental de la ciberdefensa moderna.

(Fuente: www.bleepingcomputer.com)