Noticiero Digital N° 1248

El negocio del engaño: phishing como servicio

El Phishing-as-a-Service (PhaaS) ha transformado el fraude digital en una industria accesible, permitiendo a ciberdelincuentes lanzar ataques masivos sin conocimientos técnicos avanzados. Kits listos para usar, vendidos incluso por 120 dólares, incluyen páginas falsas, paneles de control y herramientas para evadir autenticación multifactor. Esta evolución ha ampliado la superficie de ataque, afectando especialmente a instituciones financieras en Latinoamérica. Expertos advierten que la defensa ya no puede centrarse solo en el inicio de sesión, sino anticiparse al fraude fuera del entorno bancario. La suplantación de marcas erosiona la confianza del cliente y obliga a reforzar la protección en todo el recorrido digital.

El Phishing como Servicio convierte la suplantación de marcas en un problema de fraude masivo y escalable

Los modelos de Phishing-as-a-Service han transformado la suplantación de marcas en una amenaza escalable que exige proteger al cliente incluso antes de que llegue al entorno bancario.

(americasistemas.pe. Lima, Perú – 08 de julio 2026) El phishing solía requerir habilidades técnicas avanzadas, infraestructura dedicada y tiempo. Hoy, gran parte de esa complejidad puede adquirirse como servicio. El Phishing-as-a-Service (PhaaS) pone al alcance de los ciberdelincuentes kits de phishing listos para usar, páginas de inicio de sesión falsas, paneles de gestión de campañas, automatización y, en algunos casos, capacidades para eludir la autenticación multifactor (MFA).

Esto reduce drásticamente la barrera de entrada y multiplica el volumen de ataques contra instituciones financieras y sus clientes en toda la región. AppGate, compañía de acceso seguro y protección de fraude, advierte que las instituciones financieras de Latinoamérica deben adelantar la línea de defensa ante el fraude digital antes del inicio de sesión.

“Plataformas como Tycoon2FA muestran la velocidad con que el phishing ha evolucionado, de un simple robo de credenciales a ataques de tipo adversary-in-the-middle capaces de interceptar credenciales, códigos de autenticación y cookies de sesión, permitiendo a los atacantes eludir ciertos flujos de autenticación multifactor y acceder a cuentas bancarias sin ser detectados”, explica Manuel Giraldo, Senior Manager de Prevención de Fraude para América Latina de AppGate.

Para bancos, cooperativas de crédito y fintechs de Latinoamérica, ya no basta con detener el fraude después del inicio de sesión. El desafío actual es proteger la superficie de confianza digital antes de que el cliente llegue al entorno bancario real.

Los kits modernos de phishing facilitan que atacantes con escasos conocimientos técnicos lancen campañas convincentes a gran escala. Microsoft reportó que Tycoon2FA permitió a actores menos especializados eludir la autenticación multifactor y escalar el compromiso de cuentas; los kits se venden por Telegram y Signal por tan solo 120 dólares.

Estos kits suelen incluir:

– Plantillas preconfiguradas que imitan marcas de confianza.
– Páginas de inicio de sesión falsas de apariencia legítima.
– Técnicas anti-bot y anti-análisis.
– Paneles de seguimiento de víctimas en tiempo real.
– Captura de credenciales y cookies de sesión.

Para el cliente, la experiencia falsa puede ser indistinguible de la real: hace clic, ingresa sus credenciales, completa el paso de autenticación esperado y el atacante captura todo lo que necesita.

“Cuando una campaña de phishing suplanta a una institución financiera, el daño va mucho más allá de la credencial robada. Los clientes no siempre distinguen entre un sitio falso y la institución real. Desde su perspectiva, la marca de su banco fue utilizada para engañarlos. Cada página de phishing, aplicación móvil falsa, suplantación en redes sociales o dominio fraudulento erosiona la confianza en la institución”, aclara Giraldo.

Muchas defensas contra el fraude están diseñadas para actuar después de que el cliente inicia sesión o cuando se ejecuta una transacción. Eso es necesario, pero no suficiente. Los ataques impulsados por PhaaS comienzan fuera de la plataforma bancaria: en sitios web falsos, a través de enlaces maliciosos, en campañas de SMS y en redes sociales. Cuando el cliente llega a la página de inicio de sesión real, el atacante puede ya tener sus credenciales, tokens de sesión, datos personales o suficiente contexto para intentar un ataque de toma de cuenta.

Al combinarse con autenticación adaptativa y controles basados en riesgo, las instituciones fortalecen la protección en todo el recorrido del cliente: desde el momento en que aparece una amenaza fuera del banco, hasta el momento en que el usuario intenta acceder a su cuenta o completar una transacción.

“El PhaaS ha cambiado la economía del fraude digital. Los atacantes ya no necesitan ser expertos: compran un kit, lanzan la campaña y esperan resultados. En Latinoamérica, donde la adopción de la banca digital crece aceleradamente, las instituciones financieras deben desplazar su primera línea de defensa hacia fuera del perímetro tradicional, monitoreando y desactivando amenazas antes de que el cliente sea víctima”, comenta Manuel Giraldo, Senior Manager de Prevención de Fraude para América Latina de AppGate.

El Phishing-as-a-Service ha transformado la economía del fraude, facilitando que los atacantes escalen campañas y suplanten marcas de confianza a un costo mínimo. Para las instituciones financieras de América Latina, esto significa que la defensa contra el fraude ya no puede comenzar en el inicio de sesión.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

"COMPROMISO CON EL PÉRU"

Ciberseguridad Nacional
– “La seguridad es un proceso, no un producto.” — Bruce Schneier, criptógrafo y experto en seguridad (1999)

– “Hay dos tipos de empresas: las que han sido hackeadas y las que aún no saben que lo han sido.” — John Chambers, ex CEO de Cisco (2015).

– “La ciberseguridad es responsabilidad de todos, no solo del área de TI.” — Ginni Rometty, ex CEO de IBM (2014).

– “El mayor riesgo es pensar que no estás en riesgo.” — James Comey, ex director del FBI (2014).

Lucha Anticorrupción
– “La ética es saber la diferencia entre lo que tienes derecho de hacer y lo que es correcto hacer.” — Potter Stewart, juez de la Corte Suprema de EE.UU. (1981).

“Si pierdes dinero, pierdes poco; si pierdes un amigo, pierdes mucho; si pierdes la integridad, lo pierdes todo.” — Proverbio chino (atribuido, s. XX).

“Las empresas que prosperan a largo plazo son aquellas que construyen confianza.” — Ratan Tata, empresario indio (2006).

– “La integridad es hacer lo correcto, incluso cuando nadie está mirando.” — C.S. Lewis, escritor británico (c. 1940).

Responsabilidad Digital
– “El phishing en el Perú aumentó un 120% en 2024. ¡Desconfía de links sospechosos!” — División de Ciberpolicía (2024).

————————————————————

UNI: MBA en Gerencia y Tecnología

Conversando con los CEO´s Perú

Ley de Inteligencia Artificial 31814

Conversatorio de especialistas sobre Conectividad para el Desarrollo del Perú.

América Sistemas