En una investigación multinacional coordinada por Europol, autoridades y socios del sector tecnológico han desactivado la infraestructura central de Tycoon 2FA, un servicio de phishing-as-a-service que permitió eludir medidas de seguridad como la autenticación multifactor (MFA). La operación removió 330 dominios utilizados como páginas de suplantación y paneles de control, y contó con la cooperación técnica de empresas como Microsoft, Cloudflare y Trend Micro.
Desde su aparición en agosto de 2026, Tycoon 2FA se convirtió en una herramienta comercializada en foros y aplicaciones de mensajería, ofrecida a precios bajos para facilitar el acceso a actores con poca pericia técnica.
Según los investigadores, el kit generó decenas de millones de correos de phishing y facilitó accesos no autorizados a cerca de 100.000 organizaciones de sectores como educación, salud y administración pública.
Cómo operaba Tycoon 2FA
La plataforma funcionaba mediante un método conocido como adversary-in-the-middle (AiTM), que empleaba un proxy inverso para interceptar credenciales y cookies de sesión en tiempo real. Desde la perspectiva de la víctima, el inicio de sesión parecía correcto y las pantallas mostraban procesos legítimos, mientras que el servicio retransmitía códigos de MFA y capturaba tokens que permitían la persistencia de acceso incluso después de un cambio de contraseña.
Técnicas de evasión y escalabilidad
Tycoon 2FA incorporó múltiples medidas para evitar la detección: fingerprinting de navegador, código ofuscado, captchas autoalojados y detección de herramientas de automatización. Además, usó una estrategia de dominios efímeros (FQDN de corta vida) y una mezcla de TLDs para complicar la construcción de listas de bloqueo. Estos mecanismos, junto con plantillas que imitaban servicios como Microsoft 365 y Gmail, multiplicaron la eficacia de sus campañas.
Impacto y alcance de la campaña
Empresas de ciberseguridad y proveedores de correo señalaron que, a mediados de 2026, Tycoon 2FA representaba una parte significativa de los intentos de phishing detectados; Microsoft atribuyó a la plataforma más del 60% de los intentos bloqueados en ese período. Intel471 y otras firmas vincularon el kit a decenas de miles de incidentes y a un volumen mensual de mensajes que alcanzó cifras en el orden de millones, afectando a cientos de miles de organizaciones globalmente.
Modelo comercial y actores
El servicio se vendía en canales privados por tarifas que reducían la barrera de entrada para actores con recursos limitados: por ejemplo, ofertas desde 120 dólares por periodos cortos. Informes no confirmados responsabilizan a un presunto desarrollador y describen paneles de administración que permitían configurar campañas, monitorear víctimas y transferir credenciales a servicios de mensajería como Telegram para seguimiento en tiempo real.
La respuesta: cooperación público-privada
La neutralización de Tycoon 2FA fue posible gracias a una combinación de medidas técnicas y legales. Microsoft lideró la interrupción técnica con apoyo de organizaciones como Proofpoint, SpyCloud y Shadowserver Foundation, mientras los cuerpos policiales en Latvia, Lithuania, Portugal, Poland, Spain y el Reino Unido ejecutaron incautaciones de infraestructura y dominios bajo la coordinación de Europol.
Lecciones y mitigaciones
Este caso subraya que la existencia de MFA no es una garantía absoluta si los atacantes interceptan tokens o cookies de sesión. Las recomendaciones incluyen revocar sesiones activas tras incidentes, aplicar protección contra AiTM (como el uso de claves de seguridad FIDO), reforzar la detección de redirecciones anómalas y mantener listas de bloqueo dinámicas apoyadas por información de inteligencia compartida.
Qué pueden hacer las organizaciones ahora
Además de las prácticas anteriores, es esencial que las empresas integren plataformas de análisis de comportamiento y educación continua para usuarios, adoptando políticas que limiten la exposición a enlaces externos desde cuentas comprometidas. La acción coordinada contra Tycoon 2FA demuestra que la colaboración entre el sector privado y las fuerzas del orden es eficaz, pero la amenaza persistirá mientras existan herramientas comerciales de phishing.
La protección frente a ataques que buscan eludir MFA exige una estrategia combinada de tecnología, procesos y cooperación internacional para anticipar y neutralizar futuras plataformas similares.
