Tycoon2FA, una de las amenazas más temibles que puede poner en riesgo cuentas de Microsoft 365, ha regresado. Nos hacemos eco de una reciente investigación llevada a cabo por eSentire, una firma especializada en ciberseguridad. Allí se advierte sobre cómo esta amenaza de phishing ha cobrado gran popularidad entre los delincuentes informáticos para robar cuentas de este tipo. A continuación, te explicamos en qué consiste y cómo protegerte.
Hace unas semanas, Abnormal Security alertó sobre el resurgimiento de Tycoon2FA. Señalaban que no solo había regresado tras los esfuerzos globales para desmantelar su operación, sino que también habían implementado nuevas tácticas para evadir la detección y poner en peligro la seguridad.
Tycoon2FA ha regresado
Tycoon2FA ya no se limita a robar contraseñas, sino que también tiene la capacidad de robar sesiones, tokens OAuth y acceder a cuentas empresariales. A pesar de haber sido desmantelado por Europol, con la colaboración de Microsoft, ahora está de nuevo activo y los investigadores advierten sobre su creciente peligrosidad.
Se trata de una plataforma de Phishing as a Service (PhaaS). Un atacante puede adquirir un kit y utilizarlo para robar cuentas, obteniendo así beneficios económicos. Funciona a modo de suscripción, lo que permite que cualquier persona, incluso sin conocimientos técnicos, pueda ejecutar campañas maliciosas.
Anteriormente, Tycoon2FA podía robar contraseñas y autenticaciones de dos pasos, pero ahora también puede persuadir al usuario para que entregue directamente la sesión activa de Microsoft. En esencia, los usuarios están entregando sus cuentas a los cibercriminales.
Los investigadores están observando que envían correos electrónicos diseñados para distribuir esta amenaza y atrapar a las víctimas. Utilizan tácticas como alertas sobre la expiración de contraseñas, documentos importantes compartidos o solicitudes de acción por parte de la víctima.
Estos correos suelen incluir archivos PDF o códigos QR. Al hacer clic en un enlace que parece legítimo, el usuario es dirigido a una página creada para iniciar el ataque. La apariencia es tan realista que la víctima podría no sospechar nada. De hecho, el usuario terminará en la web de Microsoft, aunque antes haya concedido acceso OAuth al atacante.
Cómo protegerte
Para protegerte, lo más importante es el sentido común. Es crucial no caer en este tipo de trampas. Si recibes un correo electrónico sobre algún supuesto problema, como una alerta de acción en tu dispositivo o un error de contraseña, desconfía siempre. Estas son tácticas que utilizan los atacantes para lograr su objetivo.
Nunca debes introducir códigos, ni enviarlos a través de enlaces sospechosos. Microsoft nunca te pedirá algo así. Por ejemplo, si recibes un mensaje que solicita que ingreses un código para verificar tu cuenta, ten mucho cuidado. Podría ser una trampa para robar tu cuenta, ya sea de Microsoft u otra.
También es crucial activar siempre la autenticación en dos pasos, pero evita usar códigos enviados por SMS. Lo ideal es usar aplicaciones como Google Authenticator, que ofrecen mayor seguridad.
Si llegas a caer en alguna trampa, es fundamental que cierres sesión lo antes posible. No basta con cambiar la contraseña, ya que el atacante podría seguir teniendo acceso. Es clave expulsar a posibles usuarios o dispositivos que estén conectados. Después de esto, sí deberías cambiar las contraseñas y activar la 2FA si aún no lo has hecho.
Preguntas frecuentes
¿Qué es Tycoon2FA?
Es una plataforma de phishing como servicio (PhaaS) que permite a los ciberdelincuentes, incluso sin conocimientos técnicos, lanzar campañas para robar cuentas de Microsoft mediante suscripción. Originalmente robaba contraseñas y códigos de verificación, pero su versión más reciente es capaz de secuestrar sesiones activas y tokens OAuth, otorgando control total sobre la cuenta.
¿En qué se diferencia la nueva versión de Tycoon2FA?
Ahora, además de robar credenciales y eludir la autenticación en dos pasos, puede convencer a la víctima de que entregue la sesión OAuth activa de Microsoft. Esto permite a los atacantes acceder a la cuenta incluso después de cambiar la contraseña, ya que el token OAuth proporciona acceso persistente.
¿Cómo puedo saber si he sido víctima de un ataque?
Puedes revisar la actividad de inicio de sesión de tu cuenta de Microsoft en account.microsoft.com/security. Busca inicios de sesión sospechosos o aplicaciones con permisos OAuth que no reconozcas. Si has hecho clic en un enlace de phishing y has proporcionado credenciales o concedido permisos, asume que tu cuenta está comprometida y actúa de inmediato.
