«Bienvenido a Google» — no te fíes: VoidProxy es una trampa que roba todo al iniciar sesión

Grupos de ciberdelincuentes empezaron a utilizar masivamente el nuevo servicio de phishing VoidProxy y ya están robando credenciales, códigos de autenticación multifactor y tokens de sesión en tiempo real de cuentas de Microsoft y Google. Sobre los ataques informa Okta Threat Intelligence: el servicio opera bajo el modelo «phishing como servicio», y su infraestructura es usada simultáneamente por distintas bandas y por actores maliciosos solitarios.

Según Okta, las víctimas están dispersas por sectores y regiones — desde pequeñas empresas hasta grandes compañías. Se han confirmado compromisos de cuentas en varias organizaciones; además, dado que VoidProxy hace proxy directo de usuarios no federados hacia los servidores de Microsoft y Google, es probable que los propios proveedores de nube observen aún más episodios de compromiso. La campaña está activa desde enero, y los anuncios de VoidProxy en mercados de la dark web se han rastreado al menos desde agosto de 2024. Se detectan nuevos nodos casi a diario — los ataques continúan.

La cadena del ataque comienza con envíos de señuelos desde cuentas de correo reales pero comprometidas. Para ello se usan servicios de email marketing como Constant Contact, ActiveCampaign (aplicación Postmark), NotifyVisitors y otros. El correo contiene un enlace acortado (por ejemplo, TinyURL); a continuación la víctima es redirigida por una serie de reenvíos hasta la primera página de phishing. Los sitios se alojan en zonas de dominio baratas como .icu, .sbs, .cfd, .xyz, .top, .home y se esconden detrás de Cloudflare para ocultar la IP real y dificultar la eliminación. Antes del inicio de sesión el usuario debe pasar un CAPTCHA de Cloudflare, lo que filtra bots y aumenta la 'calidad' del tráfico para los atacantes.

A continuación se muestra una página indistinguible de los formularios de inicio de sesión reales de Google o Microsoft. Si la organización utiliza un SSO de terceros (por ejemplo, mediante Okta), el tráfico se redirige correctamente — la víctima ve el flujo de autenticación habitual e introduce usuario, contraseña y luego el código MFA. En esta fase entra en acción el esquema proxy Attacker-in-the-Middle (AiTM): los datos introducidos no van directamente al proveedor, sino que pasan por el núcleo de VoidProxy — un servidor proxy sobre infraestructura efímera (temporal).

El proxy intercepta y retransmite datos sensibles (nombre de usuario, contraseña, respuestas MFA) a los servicios legítimos de Microsoft, Google y Okta. Estos confirman la autenticidad y emiten la cookie de sesión. Una copia de la cookie se guarda en el lado de los atacantes y aparece en su panel de administración. Con un token de sesión válido, el delincuente accede a la cuenta de la víctima sin contraseña ni revalidación MFA — hasta que expire la sesión.

VoidProxy no es solo un proxy, sino una plataforma llave en mano. Los compradores del servicio reciben un panel administrativo para gestionar los envíos y las páginas de aterrizaje, paneles de control por cada campaña con estadísticas diarias de contraseñas y cookies robadas, además de mapas con marcas de regiones y contadores de víctimas. El proyecto soporta redirección de tráfico también para escenarios SSO, sustituye de forma flexible las páginas objetivo y funciona sobre una infraestructura de cambios rápidos, lo que dificulta su bloqueo.

Los defensores por parte de los proveedores de nube reaccionan de forma diversa. En Google hablan de protecciones «duraderas» contra la suplantación de dominios, enlaces de phishing y remitentes comprometidos y, aparte, animan a migrar a passkeys. Microsoft no ha hecho comentarios. Okta, por su parte, recomienda habilitar factores resistentes al phishing: Okta FastPass, así como FIDO2 WebAuthn (claves hardware y passkeys), y aplicar estrictamente políticas que bloqueen métodos de autenticación débiles.

Otro vector de contención son los estándares de interoperabilidad. Los autores del informe instan a la industria a apoyar y promover el Interoperability Profile for Secure Identity in the Enterprise (IPSIE). La adopción consistente de esos perfiles permitirá, por ejemplo, cerrar la sesión de un usuario de forma rápida tanto en el dispositivo como en todas las aplicaciones del navegador si se detecta acceso a infraestructura maliciosa conocida.

La conclusión es simple: los esquemas de phishing AiTM cambian el equilibrio de fuerzas — incluso una contraseña correcta y el MFA activado no salvan si la cookie de sesión se filtra a través del proxy. El mínimo operativo de protección hoy es abandonar los códigos de un solo uso a favor de claves FIDO2/WebAuthn, aplicar políticas estrictas, filtrar dominios 'basura', bloquear cadenas de redireccionamiento y monitorizar anomalías en los inicios de sesión. Los ataques de VoidProxy están ocurriendo ahora y se adaptan diariamente, por lo que «configurar una vez» ya no funciona.