Evilginx: 100 millones de dólares en pérdidas y ataques contra países; la herramienta de 'red team' usada con fines maliciosos
El proyecto de un aficionado a la informática se convirtió en una pesadilla para la ciberseguridad mundial.
Kuba Gretzky originalmente quería hacer Internet más seguro, pero su desarrollo tuvo el efecto contrario. En 2017 el programador polaco creó la herramienta Evilginx —un programa diseñado para ayudar a los equipos Red Team a estudiar métodos de phishing y entender cómo los atacantes roban credenciales. La idea era sencilla: demostrar lo fácil que es eludir incluso la autenticación multifactor, para que las empresas reforzaran sus sistemas antes de que los atacantes reales los explotaran. Sin embargo, en cuanto el código fuente se publicó en abierto, pronto se salió de control.
Evilginx era un proxy transparente que interceptaba el tráfico entre el usuario y el sitio objetivo. A través de él se podía obtener el token de sesión activa —ese parámetro que permite eludir la comprobación con el código de verificación. Como resultado, cualquiera que controlara ese proxy podía acceder a una cuenta ajena, incluso si la víctima usaba protección de dos factores. Para Gretzky era un proyecto educativo, pero para los delincuentes era una herramienta de ataque lista para usar.
Con el tiempo el programa se convirtió en un arma. Para 2023 lo usaron activamente agrupaciones, incluida Scattered Spider —la misma que atacó MGM Resorts, causando que en los casinos dejaran de funcionar las tarjetas de acceso y las máquinas tragamonedas. Las pérdidas para la compañía superaron los 100 millones de dólares. Los analistas también detectaron el uso de Evilginx en ataques contra organizaciones no gubernamentales y contratistas relacionados con la defensa de Ucrania.
Entendiendo la magnitud del problema, Gretzky publicó una versión pública reducida de Evilginx en GitHub, de la cual eliminó las funciones más peligrosas y añadió marcas digitales ocultas mediante las que los investigadores pueden detectar el uso del programa en la red. La modificación completa, denominada Evilginx Pro, ahora se vende solo a empresas verificadas, y el propio desarrollador revisa manualmente a cada comprador. No obstante, la versión gratuita sigue estando disponible, y el autor admite que siente una contradicción entre su deseo de ayudar a la comunidad y saber que su código lo usan atacantes.
Paradójicamente, fue precisamente por Evilginx que la industria reforzó la protección. Después de la publicación del código, ingenieros de Google contactaron a Gretzky para discutir mejoras en los mecanismos de autenticación. Él está convencido de que la apertura de este tipo de herramientas permite comprender mejor los riesgos reales, ya que las amenazas ocultas de todos modos encontrarán la forma de manifestarse. Para él la seguridad no es responsabilidad de una sola persona, sino una cadena en la que cada eslabón importa —desde el desarrollador hasta el usuario que hace clic en un enlace.
Evilginx sigue siendo un ejemplo vivo de cómo la línea entre investigación y abuso puede desaparecer, y de cómo las buenas intenciones pueden convertirse en una fuente de nuevos riesgos. Siete años después, el proyecto sigue equilibrando innovación y amenaza, recordando que cualquier conocimiento en la red puede acabar en manos ajenas.
¿Estás cansado de que Internet sepa todo sobre ti?