martes, 7 de julio de 2026

El Phishing como Servicio convierte la suplantación de marcas en un problema de fraude masivo y escalable


      Los modelos de Phishing-as-a-Service han transformado la suplantación de marcas en una amenaza escalable que exige proteger al cliente incluso antes de que llegue al entorno bancario.

Ciudad de México, 07 de julio de 2026.- El phishing solía requerir habilidades técnicas avanzadas, infraestructura dedicada y tiempo. Hoy, gran parte de esa complejidad puede adquirirse como servicio. El Phishing-as-a-Service (PhaaS) pone al alcance de los ciberdelincuentes kits de phishing listos para usar, páginas de inicio de sesión falsas, paneles de gestión de campañas, automatización y, en algunos casos, capacidades para eludir la autenticación multifactor (MFA).

Esto reduce drásticamente la barrera de entrada y multiplica el volumen de ataques contra instituciones financieras y sus clientes en toda la región. AppGate, compañía de acceso seguro y protección de fraude, advierte que las instituciones financieras de Latinoamérica deben adelantar la línea de defensa ante el fraude digital antes del inicio de sesión.

“Plataformas como Tycoon2FA muestran la velocidad con que el phishing ha evolucionado, de un simple robo de credenciales a ataques de tipo adversary-in-the-middle capaces de interceptar credenciales, códigos de autenticación y cookies de sesión, permitiendo a los atacantes eludir ciertos flujos de autenticación multifactor y acceder a cuentas bancarias sin ser detectados”, explica Manuel Giraldo, Senior Manager de Prevención de Fraude para América Latina de AppGate.

Para bancos, cooperativas de crédito y fintechs de Latinoamérica, ya no basta con detener el fraude después del inicio de sesión. El desafío actual es proteger la superficie de confianza digital antes de que el cliente llegue al entorno bancario real.

Los kits modernos de phishing facilitan que atacantes con escasos conocimientos técnicos lancen campañas convincentes a gran escala. Microsoft reportó que Tycoon2FA permitió a actores menos especializados eludir la autenticación multifactor y escalar el compromiso de cuentas; los kits se venden por Telegram y Signal por tan solo 120 dólares.

Estos kits suelen incluir:

      Plantillas preconfiguradas que imitan marcas de confianza.

      Páginas de inicio de sesión falsas de apariencia legítima.

      Técnicas anti-bot y anti-análisis.

      Paneles de seguimiento de víctimas en tiempo real.

      Captura de credenciales y cookies de sesión.

Para el cliente, la experiencia falsa puede ser indistinguible de la real: hace clic, ingresa sus credenciales, completa el paso de autenticación esperado y el atacante captura todo lo que necesita.

“Cuando una campaña de phishing suplanta a una institución financiera, el daño va mucho más allá de la credencial robada. Los clientes no siempre distinguen entre un sitio falso y la institución real. Desde su perspectiva, la marca de su banco fue utilizada para engañarlos. Cada página de phishing, aplicación móvil falsa, suplantación en redes sociales o dominio fraudulento erosiona la confianza en la institución”, aclara Giraldo.

Muchas defensas contra el fraude están diseñadas para actuar después de que el cliente inicia sesión o cuando se ejecuta una transacción. Eso es necesario, pero no suficiente. Los ataques impulsados por PhaaS comienzan fuera de la plataforma bancaria: en sitios web falsos, a través de enlaces maliciosos, en campañas de SMS y en redes sociales. Cuando el cliente llega a la página de inicio de sesión real, el atacante puede ya tener sus credenciales, tokens de sesión, datos personales o suficiente contexto para intentar un ataque de toma de cuenta.

Al combinarse con autenticación adaptativa y controles basados en riesgo, las instituciones fortalecen la protección en todo el recorrido del cliente: desde el momento en que aparece una amenaza fuera del banco, hasta el momento en que el usuario intenta acceder a su cuenta o completar una transacción.

“El PhaaS ha cambiado la economía del fraude digital. Los atacantes ya no necesitan ser expertos: compran un kit, lanzan la campaña y esperan resultados. En Latinoamérica, donde la adopción de la banca digital crece aceleradamente, las instituciones financieras deben desplazar su primera línea de defensa hacia fuera del perímetro tradicional, monitoreando y desactivando amenazas antes de que el cliente sea víctima”, comenta Manuel Giraldo, Senior Manager de Prevención de Fraude para América Latina de AppGate.

El Phishing-as-a-Service ha transformado la economía del fraude, facilitando que los atacantes escalen campañas y suplanten marcas de confianza a un costo mínimo. Para las instituciones financieras de América Latina, esto significa que la defensa contra el fraude ya no puede comenzar en el inicio de sesión.

 

Acerca de AppGate

AppGate asegura y protege los activos más valiosos de una organización con su solución de Zero Trust Network Access (ZTNA) de alto rendimiento y servicios de asesoramiento cibernético. AppGate es la única solución ZTNA de enrutamiento directo creada para un rendimiento máximo, una protección superior y una interoperabilidad perfecta. AppGate protege a las empresas y agencias gubernamentales de todo el mundo. Obtenga más información en appgate.com.

Acerca de 360 Fraud Protection

360 Fraud Protection de AppGate proporciona protección contra el fraude de punta a punta en una plataforma unificada. La solución incluye 360 Brand Guardian, 360 Risk Control y 360 Adaptive Authentication. Juntos proporcionan una gestión integral de amenazas, protección de marca y prevención de fraudes, protegiendo a las instituciones financieras y empresas de todo el mundo. Obtenga más información en 360fraud.ai.



No hay comentarios:

Publicar un comentario