Cambiar la contraseña ya no basta: por qué los hackers de Tycoon 2FA pasaron años desapercibidos
Un imperio criminal prosperaba oculto en chats cotidianos
Una operación internacional de las fuerzas del orden llevó al desmantelamiento de una de las mayores plataformas de ataques de phishing, Tycoon 2FA. El servicio funcionaba con un modelo de suscripción y permitía a los delincuentes realizar ataques masivos para interceptar credenciales y códigos de autenticación multifactor. Según Europol, la infraestructura del servicio se utilizó en decenas de miles de incidentes en todo el mundo.
La plataforma Tycoon 2FA apareció en agosto de 2023 y se convirtió rápidamente en una herramienta importante para ciberdelincuentes. El acceso se vendía a través de los mensajeros Telegram y Signal. El precio mínimo era de 120 dólares por diez días de uso, y el acceso mensual al panel de control web costaba aproximadamente 350 dólares. Se considera que el principal desarrollador es Saada Fridi, de Pakistán.
El panel web servía como centro de gestión de las campañas de phishing. Los operadores podían elegir plantillas de correo ya preparadas, configurar dominios y alojamiento, rastrear la actividad de las víctimas y gestionar el redireccionamiento de los usuarios. El sistema recopilaba credenciales de inicio de sesión, contraseñas, códigos de autenticación multifactor y cookies de sesión. Los datos obtenidos se guardaban en el panel o se reenviaban automáticamente a Telegram casi en tiempo real.
Según Europol, la plataforma generaba mensualmente decenas de millones de correos de phishing y permitió el acceso no autorizado a casi 100.000 organizaciones. Entre las afectadas estuvieron escuelas, hospitales, organismos gubernamentales y empresas comerciales. En el curso de la operación, los especialistas desactivaron 330 dominios que se utilizaban para alojar páginas de phishing y paneles administrativos.
La empresa Intel 471 vinculó a Tycoon 2FA con más de 64.000 incidentes de phishing y con decenas de miles de nombres de dominio. Microsoft seguía a los operadores de la plataforma bajo la denominación Storm-1747 y describió el servicio como la herramienta más activa de este tipo en 2025. Solo en octubre de 2025, los sistemas de la compañía bloquearon más de 13 millones de correos maliciosos relacionados con Tycoon 2FA. A mediados de ese mismo año, el servicio representaba aproximadamente el 62% de todos los ataques de phishing bloqueados por Microsoft.
El análisis de datos de SpyCloud mostró que el mayor número de afectados estaba en EE. UU. Le siguen Reino Unido, Canadá, India y Francia. El objetivo principal de los ataques seguían siendo las cuentas de correo corporativas y los dominios de las empresas, no las cuentas personales de los usuarios.
Las páginas de phishing del servicio copiaban los formularios de inicio de sesión de servicios en la nube populares, incluidos Microsoft 365, OneDrive, Outlook, SharePoint y Gmail. La infraestructura interceptaba no solo inicios de sesión y contraseñas, sino también tokens de sesión. Gracias a ese esquema, los atacantes mantenían el acceso incluso después del cambio de contraseña, si los administradores no revocaban las sesiones activas.
Tycoon 2FA ocultaba activamente su infraestructura. El sistema empleaba monitorización de pulsaciones de teclas, comprobación de visitantes por bots, huellas del navegador, código ofuscado y CAPTCHA propios. Una dificultad adicional para los sistemas de defensa la generaban los nombres de dominio que cambiaban rápidamente y que a menudo duraban entre un día y tres días.
Entre las tácticas más comunes se aplicaba la técnica conocida como ATO Jumping. La bandeja de correo comprometida enviaba nuevos enlaces de phishing en nombre de contactos conocidos, lo que aumentaba la probabilidad de comprometer a las siguientes víctimas. Según Proofpoint, este tipo de ataques se ha convertido en uno de los factores clave del aumento del compromiso de cuentas corporativas en los últimos años.