El phishing, una de las técnicas de ciberataque más comunes para intervenir cuentas bancarias, ha adoptado una nueva modalidad en México llamada Phishing as a Service (PhaaS), que ha convertido la suplantación de identidad en una amenaza masiva y escalable para bancos y fintechs en América Latina. AppGate, una compañía especializada en acceso seguro y protección contra fraude, advirtió que este modelo permite a atacantes con menor conocimiento especializado lanzar campañas masivas mediante herramientas previamente desarrolladas.
Los kits de PhaaS incluyen plantillas que imitan marcas reconocidas, páginas falsas de inicio de sesión con apariencia legítima, mecanismos anti bot y anti análisis, paneles de seguimiento de víctimas en tiempo real, así como herramientas para capturar credenciales y cookies de sesión. Según Microsoft, plataformas como Tycoon2FA permiten a actores menos especializados evadir algunos esquemas de autenticación multifactor y escalar ataques de compromiso de cuentas.
Estos servicios pueden adquirirse a través de canales como Telegram y Signal por alrededor de u$s 120. Para los clientes, la experiencia puede parecer idéntica a una interacción legítima: reciben un enlace, ingresan sus datos y completan los pasos de autenticación habituales, entregando sin saberlo información que puede ser utilizada por los delincuentes.

Manuel Giraldo, Senior Manager de Prevención de Fraude para América Latina de AppGate, señaló que cuando una campaña de phishing suplanta a una institución financiera, el daño va más allá de la credencial robada. Los clientes no siempre distinguen entre un sitio falso y la institución real, lo que erosiona la confianza del usuario en los canales digitales.
Bancos y fintechs deben anticipar ataques fuera de sus plataformas, ya que cada página falsa, aplicación móvil fraudulenta, perfil apócrifo en redes sociales o dominio malicioso representa un riesgo reputacional para las instituciones financieras. La defensa no puede limitarse al momento en que el usuario inicia sesión, sino que debe ser proactiva y adaptarse a la evolución del fraude digital.
Etiquetas: Ciberfraude, Phishing, Robo de identidad, Seguridad bancaria, México · Ciberfraude, phishing y robo de identidad, México · Ciberfraude, phishing y robo de identidad
