El Phishing como Servicio (PhaaS) ha transformado la suplantación de marcas en una amenaza escalable que demanda protección al cliente antes de su llegada al entorno bancario. Anteriormente, el phishing requería habilidades técnicas avanzadas y tiempo, pero hoy en día, esta complejidad puede adquirirse como servicio.
AppGate, compañía de acceso seguro y protección de fraude, advierte que las instituciones financieras de Latinoamérica deben adelantar la defensa ante el fraude digital.
Plataformas como Tycoon2FA muestran la evolución del phishing, pasando de robar credenciales a ataques de tipo 'adversary-in-the-middle' que pueden interceptar credenciales y cookies de sesión, evitando ciertos flujos de autenticación multifactor.
Para bancos y fintechs de la región, detener el fraude después del inicio de sesión ya no es suficiente; el desafío es proteger la superficie de confianza digital antes de que el cliente llegue al entorno bancario real. Los kits modernos de phishing facilitan la ejecución de campañas a gran escala por parte de atacantes con escasos conocimientos técnicos.

Microsoft reporta que Tycoon2FA permite a actores menos especializados eludir la autenticación multifactor y escalar el compromiso de cuentas, vendiéndose por Telegram y Signal por 120 dólares. Estos kits incluyen plantillas preconfiguradas, páginas de inicio de sesión falsas, técnicas anti-bot y paneles de seguimiento de víctimas en tiempo real.
La experiencia falsa para el cliente puede ser indistinguible de la real, capturando credenciales y cookies de sesión. El daño de una campaña de phishing que suplanta a una institución financiera va más allá de la credencial robada; erosiona la confianza en la institución.
Muchas defensas contra el fraude actúan después de que el cliente inicia sesión o cuando se ejecuta una transacción, pero los ataques impulsados por PhaaS comienzan fuera de la plataforma bancaria, en sitios web falsos, enlaces maliciosos, campañas de SMS y redes sociales.
Etiquetas: Tecnología, Phishing, Fraudes, Seguridad, Tecnología · Deepfakes y fraudes con IA
