**Nueva oleada de ataques de phishing con PhaaS de proxy en vivo evade las defensas tradicionales**
—
### 1. Introducción
El ecosistema de la ciberdelincuencia ha evolucionado con la aparición de plataformas Phishing-as-a-Service (PhaaS) cada vez más sofisticadas. Recientemente, se ha identificado una nueva herramienta PhaaS que utiliza técnicas de *live proxying* para suplantar portales de acceso legítimos en tiempo real, superando la eficacia de las soluciones de detección convencionales. Este avance supone un reto significativo para los equipos de ciberseguridad, que deben adaptar sus estrategias ante un panorama de amenazas en constante cambio.
—
### 2. Contexto del Incidente o Vulnerabilidad
Las plataformas PhaaS han democratizado el acceso a ataques de phishing avanzados, permitiendo que actores con escasa experiencia técnica lancen campañas efectivas. La reciente variante identificada introduce una funcionalidad de intermediación en vivo, donde el kit de phishing actúa como proxy entre la víctima y el sitio legítimo, capturando credenciales y tokens de autenticación de múltiples factores (MFA) en tiempo real.
Esta técnica, previamente utilizada en campañas dirigidas por grupos APT, ahora está disponible como un servicio automatizado y de fácil uso para cualquier ciberdelincuente. El impacto de esta tendencia es especialmente relevante para sectores regulados bajo normativas como GDPR y la inminente NIS2, que exigen garantías sólidas de protección de datos y gestión de incidentes.
—
### 3. Detalles Técnicos
La plataforma PhaaS identificada emplea un enfoque *reverse proxy* para intermediar el tráfico entre el usuario y el sitio legítimo (por ejemplo, Microsoft 365, Google Workspace, Okta, etc.). Cuando la víctima accede al enlace malicioso, toda la sesión se enruta a través del servidor de los atacantes, que replica la experiencia de usuario original y captura en tiempo real:
– Credenciales de acceso (usuario y contraseña)
– Cookies de sesión y tokens JWT
– Códigos OTP/MFA (incluidos TOTP y SMS)
Este vector de ataque corresponde a la técnica **T1116 – Code Signing** y **T1557 – Adversary-in-the-Middle** del framework MITRE ATT&CK. Los indicadores de compromiso (IoC) suelen incluir dominios registrados recientemente, certificados SSL LetsEncrypt, y patrones de tráfico inusuales hacia IPs asociadas a proveedores cloud (VPS).
Actualmente, las variantes más comunes de estos kits utilizan componentes en Python (Flask), Node.js (Express) o PHP, y se distribuyen en foros underground como servicios llave en mano. Algunos ejemplos documentados, como EvilProxy, Modlishka o Evilginx2, han servido de base para esta nueva generación de plataformas PhaaS, que ahora añaden paneles de gestión multilingües y automatización de campañas mediante APIs.
—
### 4. Impacto y Riesgos
El uso de proxies en vivo representa una amenaza crítica, ya que permite a los atacantes evadir la autenticación multifactor (MFA) y obtener acceso persistente a cuentas corporativas, sistemas SaaS y portales internos. Según datos recientes de Anti-Phishing Working Group (APWG), los ataques de phishing basados en proxy han aumentado un 110% en el último año, afectando especialmente a sectores financiero, sanitario y educativo.
Los riesgos se multiplican en entornos con empleados remotos, donde el acceso a recursos corporativos se realiza a través de portales web. El compromiso de cuentas puede derivar en movimientos laterales, escalada de privilegios, robo de información confidencial y despliegue de ransomware.
El coste medio de una brecha asociada a phishing supera los 4,5 millones de dólares según el informe de IBM 2023, cifra que se incrementa en el caso de filtraciones de datos regulados por GDPR.
—
### 5. Medidas de Mitigación y Recomendaciones
Ante esta amenaza, las medidas tradicionales de detección basadas en listas negras, análisis estático e inspección superficial de contenido HTML resultan insuficientes. Se recomienda:
– Implementar autenticación multifactor resistente a phishing, como FIDO2/WebAuthn (llaves físicas tipo YubiKey)
– Monitorizar logs de acceso en tiempo real y correlacionar anomalías (localización geográfica, uso de proxies, cambios de agente de usuario)
– Desplegar soluciones de análisis de comportamiento (UEBA) y detección de Adversary-in-the-Middle
– Bloquear o restringir dominios sospechosos a nivel de gateway y DNS
– Formar a los usuarios para identificar señales sutiles de suplantación, aunque el portal parezca idéntico al original
– Aplicar políticas de Zero Trust y segmentación de acceso
Además, las empresas deben revisar sus planes de respuesta a incidentes y asegurar la notificación rápida en caso de compromiso, en línea con los requisitos de la NIS2 y GDPR.
—
### 6. Opinión de Expertos
Investigadores de firmas como Mandiant y Group-IB han advertido que la proliferación de kits PhaaS con proxy en vivo está cambiando el paradigma defensivo: “Ya no basta con proteger el endpoint o el correo electrónico. Ahora, el perímetro real es la identidad digital y la integridad de la sesión”, señala Olga Zinenko, analista de amenazas.
Por su parte, el SANS Institute destaca la importancia de la inteligencia de amenazas y el intercambio de IoCs en tiempo real para identificar campañas activas antes de que comprometan activos críticos.
—
### 7. Implicaciones para Empresas y Usuarios
Para los CISOs y responsables de seguridad, la aparición de plataformas PhaaS avanzadas obliga a revisar las estrategias de defensa y priorizar la protección de cuentas privilegiadas y servicios SaaS críticos. La adopción de MFA tradicional ya no es garantía suficiente, y la concienciación de usuarios debe reforzarse ante ataques cada vez más convincentes.
Para los usuarios, la principal recomendación es sospechar de cualquier solicitud inesperada de credenciales, incluso si el portal parece legítimo, y recurrir a métodos de autenticación resistentes a phishing.
—
### 8. Conclusiones
La evolución de los kits PhaaS basados en proxy en vivo marca un antes y un después en la sofisticación del phishing, permitiendo evadir tanto la autenticación multifactor como las soluciones defensivas convencionales. Solo una combinación de tecnologías adaptativas, formación continua y políticas Zero Trust permitirá a las organizaciones adelantarse a esta amenaza emergente, en un contexto regulador cada vez más exigente.
(Fuente: www.darkreading.com)