Los ciberdelincuentes están abandonando las páginas web falsas tradicionales y ahora clonan sitios web en tiempo real, interceptando credenciales y tokens de sesión de forma indetectable.
La autenticación multifactor (MFA) solía ser nuestra mejor línea de defensa corporativa, pero la industrialización del cibercrimen ha encontrado la manera de esquivarla de forma automatizada y alarmantemente sencilla. Hoy, 3 de marzo de 2026, una investigación ha revelado los detalles técnicos de Starkiller, una novedosa plataforma de phishing diseñada específicamente para eludir las protecciones MFA actuando como un intermediario completamente invisible.
La Anatomía de Starkiller: Un “Espejo” Mortal
Comercializada de forma audaz como una plataforma de cibercrimen por un grupo de amenazas que se hace llamar Jinkusu, esta herramienta opera bajo un eficiente modelo de “Software como Servicio” (SaaS) criminal.
Investigadores de la firma de seguridad Abnormal han desgranado su sofisticado funcionamiento técnico:
- Los clientes de Starkiller obtienen acceso a un panel de control desde donde pueden seleccionar una marca específica para suplantar o, si lo prefieren, introducir directamente la URL real de la empresa objetivo.
- El sistema permite a los atacantes elegir palabras clave personalizadas en los enlaces (como “login”, “verify”, “security” o “account”) e integrar acortadores de URL (como TinyURL) para ocultar hábilmente el destino final del enlace.
- La verdadera magia negra ocurre en la infraestructura de fondo: la plataforma lanza una instancia de Chrome “sin cabeza” (headless Chrome) operando dentro de un contenedor Docker. Este tipo de navegador opera de forma programática sin mostrar una ventana visible.
- Este navegador oculto carga el sitio web real de la marca y comienza a actuar como un proxy inverso de tipo Adversary-in-the-Middle (AitM) posicionado entre el usuario objetivo y el sitio web legítimo.
- Como resultado final, la víctima interactúa visualmente con el contenido genuino de la página corporativa, pero cada pulsación de teclado, envío de formulario y token de sesión activo se enruta primero a través de la infraestructura del atacante, resultando en el secuestro absoluto de la cuenta.
El mayor peligro estratégico de esta técnica es que elimina por completo la necesidad de que los atacantes actualicen las plantillas de sus páginas falsas, ya que están clonando y redirigiendo el sitio real en vivo. En consecuencia, no existen archivos de plantillas estáticas que los proveedores de seguridad puedan identificar mediante firmas o bloquear en sus listas negras (blocklists).
Un Ecosistema en Evolución: 1Phish y Códigos OAuth
Starkiller no es un caso aislado, sino el síntoma de una evolución generalizada hacia el fraude profesionalizado.
Se ha revelado que otro kit cibercriminal llamado 1Phish ha evolucionado rápidamente desde un simple recolector de credenciales (en septiembre de 2025) hasta convertirse en una letal herramienta multifase dirigida específicamente a los usuarios del gestor de contraseñas 1Password. La versión más reciente de este kit ahora puede capturar códigos de acceso de un solo uso (OTPs), almacenar códigos de recuperación de cuentas y cuenta con lógica avanzada de toma de huellas dactilares del navegador para identificar y bloquear a los bots de análisis de las empresas de ciberseguridad.
Paralelamente, los atacantes están explotando una vulnerabilidad de confianza en el flujo de concesión de autorización de dispositivos OAuth 2.0 para comprometer masivamente cuentas de Microsoft 365 de empresas en Norteamérica.
- El flujo de ataque comienza cuando el criminal genera un código de dispositivo único directamente en la aplicación OAuth de Microsoft y se lo envía a la víctima a través de un correo de phishing dirigido.
- La víctima, creyendo que es una solicitud oficial, es dirigida al portal web legítimo microsoft.com/devicelogin para introducir el código suministrado.
- Esta inocente acción autentica a la víctima en el sistema central y emite automáticamente un token de acceso OAuth válido directo a la aplicación controlada por el atacante, otorgándole acceso persistente y silencioso a los correos y datos corporativos del usuario.
Evasión Sofisticada en el Sector Financiero
Para rematar el panorama actual, investigadores de seguridad han detectado campañas muy recientes dirigidas exclusivamente a bancos y cooperativas de crédito de EE. UU. que utilizan tácticas de evasión de grado militar.
Los piratas informáticos comienzan registrando dominios bajo la extensión .co.com para suplantar hábilmente los nombres de las instituciones financieras. Al hacer clic en el enlace malicioso, la página carga una pantalla de CAPTCHA falsa (imitando el diseño de Cloudflare) que no es funcional, sino que está diseñada para crear un retraso intencional que agota el tiempo de espera de los escáneres de seguridad automatizados. Una vez superado el retraso, un script ofuscado en Base64 redirige finalmente a los usuarios a la página real de robo de credenciales.
