Barracuda full logo

Todo lo que necesita saber sobre Phishing-as-a-Service

Temas:
11 jun 2025
|
Ashitosh Deshnur

¿Qué es el phishing como servicio?

Phishing-as-a-Service, o PhaaS, es un modelo de ciberdelito donde los actores de amenazas ofrecen herramientas, kits y servicios de phishing a otros atacantes, a menudo mediante suscripción o pago único. Reduce la barrera de entrada para ataques de phishing al proporcionar plantillas listas para usar, alojamiento, automatización e incluso soporte al cliente. PhaaS permite a los usuarios no técnicos lanzar campañas de phishing sofisticadas, contribuyendo al aumento de incidentes de phishing a nivel mundial.

¿Cómo funciona PhaaS?

  1. Los atacantes se inscriben en este servicio — a menudo a través de Darknet o canales de Telegram — y obtienen acceso a su infraestructura PhaaS.
  2. El servicio proporciona correos electrónicos y sitios web falsos listos para usar que parecen de empresas reales.
  3. El estafador puede personalizar mensajes para hacerlos convincentes.
  4. Luego, estos correos electrónicos o sitios web falsos se envían a muchas personas.
  5. Cuando alguien cae en el truco e ingresa su información privada, el estafador la recopila y puede robar dinero o identidades.

¿Quién utiliza PhaaS?

  • Los atacantes que quieren realizar el robo de credenciales pero no saben cómo construir los correos electrónicos de phishing, la infraestructura para alojar páginas de inicio de sesión falsas de Microsoft/Google, robar tokens de autenticación multifactor (MFA) y enviarlos a un servidor de comando y control.
  • A veces, incluso las personas que no son muy expertas en tecnología pueden usar PhaaS porque facilita a cualquiera el lanzamiento de estafas.

¿Por qué utilizan PhaaS?

  • Ahorra tiempo y esfuerzo — no tienen que crear configuraciones de estafa complicadas desde cero.
  • A menudo es económico o basado en suscripción, por lo que es fácil de acceder.

Ahora es mucho más fácil lanzar una campaña de phishing sofisticada dirigida a miles de personas con solo unos pocos clics o con un esfuerzo mínimo, en comparación con los ataques de phishing tradicionales. Estos ataques modernos son altamente avanzados: utilizan métodos ingeniosos para evitar la detección y a menudo se basan en sitios web y plataformas legítimos pero comprometidos.

¿Quiénes son los objetivos más comunes?

  • Personas comunes que reciben correos electrónicos que parecen ser de sus bancos, plataformas, tiendas favoritas o servicios que utilizan.
  • Empleados en empresas — para intentar infiltrarse en los sistemas de la empresa.
  • Incluso las pequeñas empresas o las organizaciones que podrían no tener protecciones de seguridad sólidas.

¿Por qué se está propagando PhaaS?

  • El acceso a estos kits es fácil de conseguir porque se ofrecen a precios asequibles.
  • Son más efectivos y tienen tasas de entrega más altas que los ataques tradicionales porque los kits incluyen herramientas avanzadas que ofuscan (hacen confuso) y encriptan (aseguran) el código fuente y utilizan otras técnicas para evitar la detección.
  • El servicio oculta la complejidad técnica, por lo que cualquiera puede unirse.
  • Es difícil detener por completo las plataformas PhaaS ya que:
    • Saben cómo mantenerse ocultos — Estas plataformas son expertas en escabullirse. Utilizan trucos ingeniosos para evitar ser detectadas por los sistemas de seguridad o las fuerzas del orden. Siguen cambiando sus sitios web, correos electrónicos y métodos para no ser atrapadas fácilmente.

    • Están en todas partes — Las plataformas PhaaS operan en todo el mundo. Utilizan servidores y sitios web en diferentes países, lo que dificulta que cualquiera pueda localizarlas o cerrarlas rápidamente.

Nuevos ataques PhaaS emergentes

PhaaS (Phishingcomo servicio) está evolucionando rápidamente y produciendo kits más nuevos y sofisticados que hacen que los ataques sean más fáciles y efectivos, especialmente para los ciberdelincuentes menos técnicos.

CoGUI es un nuevo kit de phishing que tiene como objetivo específico organizaciones japonesas, mostrando cómo estas herramientas se están adaptando para regiones y víctimas específicas.

Otros nuevos y emergentes kits de phishing incluyen:

  • Sniper Dz: Sniper Dz: Un kit altamente personalizable utilizado para imitar páginas de inicio de sesión de servicios populares, haciendo que los intentos de phishing parezcan muy convincentes.
  • Suricata que se transforma – Conocida por su capacidad para adaptar rápidamente su apariencia y eludir los filtros de correo electrónico.
  • Darcula: Darcula: Un kit sigiloso que combina el phishing y la entrega de malware, a menudo dirigido a usuarios móviles.
  • SessionShark – Se especializa en robar sesiones de inicio de sesión activas, permitiendo a los atacantes secuestrar cuentas sin siquiera necesitar contraseñas.

Lo que hace que estos kits sean particularmente peligrosos es que evolucionan constantemente — actualizando sus métodos para evitar ser detectados por los sistemas de seguridad. Este desarrollo continuo ayuda a los estafadores a mantenerse un paso adelante y hace más difícil cerrarlos.

Técnicas innovadoras en ataques PhaaS

Los ataques de phishing están volviéndose más inteligentes y engañosos al emplear nuevos métodos para engañar a las personas y evitar ser detectados. Aquí hay algunos de los trucos ingeniosos que los estafadores utilizan en los ataques PhaaS:

  1. Usando sitios web reales y confiables
    En lugar de crear sitios web falsos desde cero, los estafadores a menudo utilizan plataformas populares y legítimas para ocultar sus enlaces o archivos dañinos. Esto dificulta que las personas y las herramientas de seguridad detecten que algo está mal.
  2. Cifrado para permanecer oculto
    Ellos cifran su código malicioso, lo que significa que lo mezclan para que parezca un galimatías. Esto hace que sea difícil para el software de seguridad detectar y bloquear sus ataques.
  3. Hacer que el código sea confuso (ofuscación)
    Los estafadores también utilizan técnicas para hacer que su código sea confuso y difícil de entender, por lo que incluso los expertos tienen dificultades para averiguar qué hace realmente el código.
  4. Siempre cambiando sus trucos
    Estos kits de phishing siguen evolucionando con el tiempo. Regularmente actualizan su funcionamiento para poder eludir las defensas de seguridad que se vuelven más inteligentes cada día.
  5. Usar sitios web reales pero pirateados
    Los atacantes a veces utilizan sitios web legítimos que han sido comprometidos para alojar sus estafas. Debido a que estos sitios son reales y de confianza, es más fácil engañar a las víctimas.
  6. Evitando la detección con verificaciones inteligentes
    Algunas herramientas de phishing pueden detectar cuando los bots de seguridad o los entornos sandbox las están analizando. Cuando esto ocurre o una vez que el ataque ha seguido su curso, redirigen a las víctimas a sitios web reales para evitar levantar sospechas.

Los kits PhaaS compiten entre sí en los siguientes términos

  1. Precio y accesibilidad: Los kits que son más baratos o más fáciles de conseguir tienden a atraer a más usuarios. Algunos ofrecen suscripciones, mientras que otros venden licencias únicas. El precio y las opciones de pago importan mucho.
  2. Actualizaciones: Algunos proveedores de PhaaS ofrecen soporte al cliente y actualizan regularmente sus kits para eludir nuevas medidas de seguridad. Los kits que se mantienen actualizados y brindan ayuda mantienen la lealtad de sus usuarios.
  3. Tasas de éxito: Si se sabe que un kit ayuda a los estafadores a evitar la detección y a robar información con éxito, gana popularidad sobre otros.

Volumen de ataques PhaaS

Desde comienzos de 2025, aproximadamente el 60% al 70% de los ataques de phishing que hemos observado han sido ataques PhaaS. Entre estos, el kit más utilizado es Tycoon 2FA, representando el 76% de los ataques. EvilProxy constituye alrededor del 8%, mientras que Mamba 2FA y Sneaky 2FA juntos representan el 6%. El 10% restante proviene de varios otros kits de phishing como LogoKit, CoGUI, FlowerStorm, Gabagool, entre otros.

Nota: Esta publicación de blog fue coautorizada por Deerendra Prasad.

Obtén una seguridad completa del correo electrónico con tecnología de IA
Ashitosh Deshnur

Ashitosh Deshnur es un Analista Asociado de Amenazas en el Equipo de Analistas de Amenazas en Barracuda Networks, aportando un año de experiencia práctica en ciberseguridad. Con una Licenciatura en Ingeniería en Informática, está apasionado por adelantarse a las amenazas emergentes. También disfruta trabajar en proyectos relacionados con el análisis de datos y el desarrollo web en su tiempo libre.

Publicaciones relacionadas:
BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight: el kit de phishing Tycoon revela nuevas técnicas para ocultar enlaces maliciosos
Threat Spotlight: el kit de phishing Tycoon revela nuevas técnicas para ocultar enlaces maliciosos
 Vuelta al cole, vuelta a las estafas
Vuelta al cole, vuelta a las estafas
 Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»
Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.