En el pasado el phishing parecía sencillo: una página falsa, un formulario de inicio de sesión mal copiado — y una víctima que quizá no notara el engaño. Pero los tiempos han cambiado. Hoy se emplean técnicas más sofisticadas para engañar a los usuarios, incluyendo ataques mediante proxies de phishing. Una de las herramientas más conocidas para esto es Evilginx2.
Qué es Evilginx2 y por qué conviene conocerlo
Evilginx2 es un marco avanzado para realizar ataques de phishing mediante proxy. Intercepta no solo inicios de sesión y contraseñas, sino también tokens de autenticación, burlando incluso la autenticación de dos factores (2FA). En otras palabras, la víctima puede introducir usuario, contraseña y código 2FA — y el atacante obtendrá acceso como si fuera el propio usuario.
La ironía es que Evilginx2 no “rompe” la 2FA en el sentido habitual. Simplemente la elude, como un invitado astuto que se cuela por la puerta trasera.
Características de Evilginx2:
- Funciona como un proxy inverso entre el usuario y el sitio objetivo.
- Intercepta cookies de sesión en tiempo real.
- Permite atacar cualquier sitio con autorización.
- Soporta la creación de "trampas" para distintos servicios — desde Google hasta Facebook.
Cómo funciona un ataque mediante proxy de phishing
En lugar de una página falsa, Evilginx2 crea un "espejo" del sitio real. El usuario ve la interfaz original, se conecta por HTTPS y el candado verde del navegador (si no hay HSTS) da una falsa sensación de seguridad. Todo lo que introduce la víctima se proxifica al instante a través del servidor del atacante.
- La víctima recibe un enlace a un dominio de phishing, disfrazado para parecer legítimo.
- Entra en la página de inicio de sesión, introduce las credenciales y completa la verificación de dos factores.
- El proxy Evilginx2 intercepta los tokens de sesión — en lugar de recopilar solo el usuario y la contraseña.
- El atacante utiliza los tokens obtenidos para acceder sin necesidad de autenticarse de nuevo.
Todo esto sucede sin formularios fijos sospechosos. Limpio, elegante, casi artístico.
Por qué el phishing con Evilginx2 es tan peligroso
La autenticación de dos factores fue durante mucho tiempo considerada la "última línea de defensa". Sin embargo, con la llegada de Evilginx2 quedó claro que proteger la contraseña con SMS o un código de una app es bueno, pero no suficiente.
Particularmente vulnerables son:
- Cuentas corporativas (Google Workspace, Microsoft 365).
- Cuentas de desarrolladores (GitHub, GitLab).
- Redes sociales, desde las que pueden iniciarse ataques contra empresas enteras.
Los proxies de phishing no solo roban el acceso — proporcionan al atacante la sesión real del usuario, permitiéndole hacer todo aquello para lo que el usuario tiene permisos.
Cómo Evilginx2 crea trampas para servicios
El marco soporta las llamadas "phishlets" — mini configuraciones para sitios concretos. Describen qué encabezados transmitir, qué parámetros cambiar, qué páginas mostrar. Gracias a eso se crea la impresión de que el usuario realmente está interactuando con el sitio original.
Entre los objetivos más populares se encuentran:
Algunos atacantes muy avanzados crean sus propios phishlets para portales internos y servicios poco conocidos — por lo que no se trata solo de grandes marcas.
Protección contra ataques mediante Evilginx2: qué funciona en la práctica
Recomendaciones sencillas como "comprueba la URL" no siempre bastan. Cuando el enlace de phishing parece legítimo (por ejemplo, usando dominios IDN o subdominios cuidadosamente elegidos), la tarea del usuario se complica.
Lo que ayuda en la práctica:
- Llaves de seguridad físicas (por ejemplo, YubiKey) con soporte FIDO2/WebAuthn. No envían códigos por la red, por lo que su interceptación es imposible.
- Uso forzado de HSTS (HTTP Strict Transport Security) y protección contra ataques de downgrade.
- Formación del personal para identificar enlaces y dominios sospechosos.
- Monitorización de actividad sospechosa en los inicios de sesión de las cuentas.
Y, por supuesto, si su infraestructura soporta "acceso condicional" (por ejemplo, en Google o Microsoft), configure políticas estrictas: prohibir el acceso desde dispositivos desconocidos, aplicar filtros geográficos y usar MFA mediante dispositivos registrados.
Quién usa Evilginx2 y para qué
Oficialmente, los desarrolladores de Evilginx2 afirman que el marco está destinado "a pruebas de seguridad y fines educativos". Pero, como suele ocurrir, la herramienta pronto pasó a uso indebido.
Hoy en día lo utilizan:
- pentesters y especialistas en operaciones Red Team;
- ciberdelincuentes para ataques dirigidos;
- competidores deshonestos en la búsqueda de acceso a información corporativa.
Y aunque Evilginx2 en sí es solo código, las consecuencias de su uso pueden ser catastróficas.
Opinión personal y algo de filosofía
Se puede discutir mucho sobre si Evilginx2 es bueno o malo. Pero el hecho es uno: demuestra claramente una verdad simple — cualquier protección, por avanzada que sea, funciona solo cuando funciona el contexto. Y si el contexto está comprometido, todos sus códigos, tokens y contraseñas se vuelven inútiles.
La ironía de la seguridad moderna es que cuanto más compleja es la defensa, más sofisticados son los ataques. Evilginx2 es solo uno de muchos recordatorios: no hay que confiar en un único nivel de protección. Siempre debe existir una red de trampas, comprobaciones y limitaciones, porque en el mundo digital la precaución no es paranoia, es sentido común.
Por eso manténgase atento, revise la configuración de seguridad de sus cuentas y no piense que "a mí no me pasará". La experiencia muestra que ocurre. Y más a menudo de lo que nos gustaría.
