AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cierre de la plataforma “EvilProxy” evidencia el avance de los servicios Phishing-as-a-Service capaces de evadir MFA**

admin

### 1. Introducción

El ecosistema de servicios Phishing-as-a-Service (PhaaS) ha experimentado un crecimiento exponencial en los últimos años, facilitando a actores maliciosos la orquestación de ataques cada vez más sofisticados. La reciente clausura de EvilProxy, una de las plataformas PhaaS más avanzadas y populares entre ciberdelincuentes, pone de relieve la amenaza real que suponen estas herramientas, especialmente por su capacidad de evadir mecanismos de autenticación multifactor (MFA). El caso EvilProxy evidencia un salto cualitativo en la profesionalización del phishing, con implicaciones significativas para equipos de seguridad, CISOs y responsables de cumplimiento.

### 2. Contexto del Incidente o Vulnerabilidad

EvilProxy operaba como un marketplace en la dark web desde principios de 2022, ofreciendo kits de phishing automatizados en modalidad de suscripción mensual. Su popularidad se disparó por el soporte a campañas dirigidas contra servicios ampliamente utilizados como Microsoft 365, Google Workspace, Okta y GitHub. Lo particularmente preocupante de EvilProxy era su capacidad para interceptar y reutilizar tokens de sesión de MFA, permitiendo a los atacantes eludir incluso los controles de autenticación más robustos implementados por las organizaciones.

La plataforma fue finalmente desmantelada en una operación coordinada por fuerzas de seguridad europeas y estadounidenses a finales de mayo de 2024, tras meses de seguimiento y análisis de la infraestructura de backend y los canales de comunicación en Telegram y foros underground.

### 3. Detalles Técnicos

EvilProxy ofrecía plantillas de phishing personalizables y proxies inversos que permitían interceptar credenciales y tokens de autenticación en tiempo real. Su arquitectura basada en reverse proxy hacía posible realizar ataques tipo “Adversary-in-the-Middle” (AitM), una táctica documentada en el framework MITRE ATT&CK bajo la técnica T1557 (Man-in-the-Middle).

El proceso habitual implicaba que la víctima accedía a una URL falsa generada por EvilProxy; el proxy capturaba tanto la contraseña como el código de MFA, transmitiéndolos al atacante, quien podía reutilizar los tokens para secuestrar la sesión. Los Indicadores de Compromiso (IoCs) asociados a EvilProxy incluyen dominios de phishing registrados con tipografías similares a los originales, direcciones IP de servidores ubicados en Rusia y Europa del Este, y certificados SSL Let’s Encrypt utilizados para legitimar las páginas fraudulentas.

Respecto a las vulnerabilidades explotadas, EvilProxy no dependía de fallos en el software objetivo, sino de debilidades inherentes al diseño de MFA basado en tokens temporales (TOTP) y SMS, demostrando que este vector sigue siendo explotable si no se implementan controles adicionales como FIDO2/WebAuthn.

Los exploits conocidos asociados a EvilProxy han sido integrados en frameworks como Metasploit y han inspirado módulos en herramientas de red team como Cobalt Strike, facilitando la automatización de campañas de phishing a gran escala.

### 4. Impacto y Riesgos

Se estima que, en su pico de actividad, EvilProxy fue responsable de al menos el 15% de las campañas de phishing dirigidas a empresas del Fortune 500 y organismos públicos europeos. Según investigaciones de firmas como Group-IB y Mandiant, más de 120.000 credenciales fueron comprometidas en 2023 mediante campañas orquestadas desde EvilProxy. Los sectores más afectados incluyen banca, administración pública, tecnología y salud, con pérdidas económicas que superan los 20 millones de euros en fraude y costes de remediación.

El riesgo principal reside en la capacidad de estos kits para evadir MFA, lo que deja expuestos incluso a usuarios concienciados y a organizaciones con políticas de seguridad avanzadas. Además, la reventa de accesos en mercados secundarios amplifica el alcance de los ataques, facilitando el movimiento lateral y el despliegue de ransomware.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de plataformas como EvilProxy, los expertos recomiendan:

– **Adopción de MFA avanzado:** Priorizar el uso de autenticadores físicos FIDO2/WebAuthn frente a TOTP o SMS.
– **Monitorización de tokens y sesiones:** Implementar sistemas de detección de anomalías en el uso de tokens de autenticación y sesiones sospechosas.
– **Educación continua:** Actualizar las campañas de concienciación para usuarios sobre los riesgos de phishing AitM.
– **Bloqueo de dominios sospechosos:** Uso proactivo de threat intelligence para identificar y bloquear dominios y URLs asociados a kits PhaaS.
– **Revisión de logs y telemetría:** Auditar regularmente el acceso a sistemas críticos y monitorizar patrones inusuales que indiquen el uso de credenciales robadas.

### 6. Opinión de Expertos

Javier López, CISO de una entidad bancaria española, señala: “El caso EvilProxy demuestra que la seguridad no puede confiar solo en MFA tradicional. Es imprescindible avanzar hacia autenticaciones resistentes a phishing y reforzar la visibilidad sobre la autenticación y el acceso”.

Por su parte, Marta García, analista senior de amenazas en una multinacional tecnológica, advierte: “La facilidad con la que se comercializan estos kits es alarmante. Su modelo de suscripción y soporte técnico reduce la barrera de entrada para atacantes sin conocimientos avanzados”.

### 7. Implicaciones para Empresas y Usuarios

La existencia y proliferación de servicios PhaaS como EvilProxy plantea desafíos serios para el cumplimiento normativo bajo el RGPD y la reciente directiva NIS2, que exige a las empresas europeas fortalecer sus controles de acceso e incident response. El impacto reputacional y financiero de una brecha por bypass de MFA puede ser devastador, especialmente en sectores regulados.

Para los usuarios, la recomendación es desconfiar incluso de comunicaciones aparentemente legítimas que soliciten autenticación, y emplear autenticadores físicos cuando sea posible.

### 8. Conclusiones

La operación contra EvilProxy supone un golpe importante para el ecosistema PhaaS, pero no erradica la amenaza. La sofisticación y automatización de estos servicios exige una estrategia de defensa en profundidad, combinando autenticación robusta, inteligencia de amenazas y respuesta ágil ante incidentes. La resiliencia frente al phishing avanzado pasa por la actualización tecnológica y la formación continua de todos los eslabones de la organización.

(Fuente: www.darkreading.com)