Investigadores alertan sobre una nueva generación de “Phishing-as-a-Service” que permite a los atacantes controlar lo que ves en tu navegador en tiempo real mientras te engañan por teléfono.
La ingeniería social ha evolucionado. Ya no se trata solo de correos mal escritos o llamadas sospechosas, sino de una combinación letal de ambos. Hoy 23 de enero de 2026, una tendencia alarmante detectada por un equipo de seguridad: el uso de kits de phishing personalizados diseñados específicamente para ataques híbridos de Vishing (Voice Phishing).
Estos kits, disponibles bajo el modelo “As-a-Service”, permiten a los atacantes sincronizar sus instrucciones verbales con lo que la víctima ve en su pantalla, logrando eludir incluso la autenticación multifactor (MFA) de grandes proveedores de identidad como Okta, Google y Microsoft.
La Nueva Táctica: Control en Tiempo Real
A diferencia de los ataques tradicionales donde el usuario cae en una página estática, estos nuevos kits ofrecen al atacante un “panel de control” en vivo.
- La Llamada: El atacante llama a la víctima haciéndose pasar por el soporte técnico de la empresa o del banco.
- La Sincronización: Convencen al usuario de visitar una URL de “verificación” (el sitio de phishing).
- El Titiritero: Mientras hablan, el atacante puede cambiar lo que aparece en la pantalla de la víctima en tiempo real.
- “Ahora verás una solicitud de código en tu pantalla, por favor díctamelo.”
- “Estoy enviando una notificación push a tu celular, por favor apruébala para verificar tu identidad.”
- El Resultado: Al controlar el flujo de autenticación, el atacante intercepta las credenciales y los tokens de sesión, logrando un Adversary-in-the-Middle (AiTM) perfecto.
El Mercado “Boutique” del Crimen
Se advierte que el mercado ha cambiado. Antes, los criminales compraban kits genéricos que servían para todo. Ahora, están comprando accesos a paneles hechos a medida para cada servicio específico.
- Objetivos Principales: Proveedores de Identidad (IdP) corporativos como Okta y Microsoft Entra ID, así como plataformas de criptomonedas.
- Democratización: Estos kits eliminan la barrera técnica. Un estafador con buenas habilidades sociales (pero nulas habilidades de hacking) puede alquilar esta infraestructura y ejecutar ataques de nivel avanzado.
Evasión de MFA
El peligro real de estos kits es que están diseñados para derrotar las formas más comunes de MFA:
- SMS y Códigos de Voz: El atacante simplemente pide el código por teléfono.
- Notificaciones Push: Utilizan la técnica de “MFA Fatigue” o ingeniería social (“Acepta la notificación para cancelar el intento de hackeo”) para que el usuario apruebe el acceso.
- Apps Autenticadoras (TOTP): Solicitan el código actual bajo pretextos de seguridad.
Cómo defenderse
- MFA Resistente al Phishing: Implementar llaves de seguridad físicas (FIDO2/WebAuthn) o autenticación biométrica (Passkeys). Estos métodos no pueden ser robados ni replicados por teléfono o sitios falsos, ya que requieren la presencia física del dispositivo y validación de dominio criptográfica.
- Verificación de Llamadas: Establecer protocolos donde el soporte técnico nunca llame al empleado sin una solicitud previa. Si recibes una llamada de “Soporte”, cuelga y llama tú mismo al número interno oficial.
- Educación: Entrenar a los empleados para que sepan que el soporte real nunca puede ver sus contraseñas ni necesita que le dicten códigos de MFA para “arreglar” una cuenta.
