Cien víctimas en 24 horas: NovaCookies roba contraseñas y claves de acceso sin hacer ruido.

Cien víctimas en 24 horas: NovaCookies roba contraseñas y claves de acceso sin hacer ruido.

El sistema de seguridad dejó pasar a intrusos sin activar ninguna alarma.

image

Los servicios de phishing se están transformando gradualmente en plataformas listas para llevar a cabo hackeos masivos, y el nuevo kit NovaCookies ayudó a los atacantes a apoderarse de más de 100 cuentas en la nube de una organización médica en un solo día. Los especialistas de Proofpoint relacionan NovaCookies con el conjunto Sneaky2FA y lo consideran una nueva versión de la herramienta anterior.

La actividad de Sneaky2FA aumentó periódicamente hasta febrero de 2026, cuando Proofpoint detectó NovaCookies por primera vez. De marzo a mayo los atacantes empezaron a usar la nueva versión con mayor frecuencia; sin embargo, en junio el número de ataques registrados disminuyó.

NovaCookies intercepta datos mediante un esquema de "hombre en el medio". Una página falsa transmite el usuario, la contraseña y los datos de sesión introducidos al servicio real, y el acceso obtenido permite eludir la autenticación multifactor. La versión anterior de Sneaky2FA se dirigía principalmente a cuentas de Microsoft, mientras que NovaCookies ofrece escenarios separados para Okta y para dominios Entra relacionados con GoDaddy.

Los desarrolladores distribuyen NovaCookies como un servicio de phishing completamente gestionado. Los clientes pagan por el acceso a la plataforma, y su operador mantiene de forma centralizada los servidores y otra infraestructura. Este modelo evita que los participantes de los ataques tengan que desplegar por sí mismos la parte técnica de la campaña.

En abril Proofpoint observó un cambio en los proveedores de Internet a través de los cuales se canalizaba la actividad maliciosa. Ese patrón corresponde al traslado de servidores o de servicios proxy para eludir la detección. Entre los objetivos confirmados figuraban cuentas en la nube de organizaciones médicas, incluidas más de 100 cuentas capturadas en un solo entorno en un día.

Proofpoint continúa siguiendo Sneaky2FA y NovaCookies. Para reducir el riesgo, la empresa recomienda desplegar medidas que detecten y bloqueen la toma de control de cuentas en la nube.