A Fondo
Los nuevos kits de phishing avanzados roban credenciales a gran escala
Investigadores de ciberseguridad están alertando del desarrollo de kits de phishing avanzados, capaces de robar credenciales a gran escala y suplantar la identidad de grandes empresas.
Kits de phishing avanzados
Los ataques de phishing siguen creciendo y junto al ransomware son la gran amenaza en ciberseguridad. En los últimos tres años se ha producido un aumento del 119% de estas amenazas, según informe de Proofpoint. Más recientemente, se han documentado cuatro nuevos kits de phishing llamados BlackForce, GhostFrame, InboxPrime AI y Spiderman que son capaces de facilitar el robo de credenciales reduciendo aún más la barrera de entrada para los ciberdelitos, ya que se venden masivamente en paquetes completos listos para actuar.
BlackForce
Detectado por primera vez en agosto de 2025, está diseñado para robar credenciales y realizar ataques Man-in-the-Browser ( MitB ) para capturar contraseñas de un solo uso (OTP) y eludir la autenticación multifactor (MFA). El kit se vende en los foros de Telegram por entre 200 y 300 euros. El kit, según investigadoras de Zscaler ThreatLabz , se ha utilizado para suplantar la identidad de más de 11 marcas, entre ellas Disney, Netflix, DHL y UPS.
«BlackForce incluye diversas técnicas de evasión con una lista de bloqueo que filtra proveedores de seguridad, rastreadores web y escáneres», declaró la compañía. «BlackForce continúa en desarrollo activo. La versión 3 se utilizó ampliamente hasta principios de agosto, y las versiones 4 y 5 se lanzaron en los meses posteriores».
Se ha descubierto que las páginas de phishing conectadas al kit utilizan archivos JavaScript con lo que se ha descrito como hashes de ‘ruptura de caché’ en sus nombres (por ejemplo, «index-[hash].js»), lo que obliga al navegador web de la víctima a descargar la última versión del script malicioso en lugar de usar una versión en caché.
En un ataque típico con este kit, las víctimas que hacen clic en un enlace son redirigidas a una página de phishing maliciosa. Tras ello, una comprobación del servidor filtra rastreadores y bots, antes de mostrarles una página diseñada para imitar un sitio web legítimo. Una vez introducidas las credenciales en la página, los datos se capturan y se envían a un bot de Telegram y a un panel de comando y control (C2) en tiempo real mediante un cliente HTTP llamado Axios .
Cuando el atacante intenta iniciar sesión con las credenciales robadas en el sitio web legítimo, se activa una solicitud de autenticación multifactor (MFA). En esta etapa, se utilizan técnicas de MitB para mostrar una página falsa de autenticación MFA en el navegador de la víctima a través del panel C2. Si la víctima introduce el código MFA en la página falsa, el atacante lo recopila y lo utiliza para obtener acceso no autorizado a su cuenta.
GhostFrame
Otro de los nuevos kits de phishing avanzados que ha cobrado fuerza desde su descubrimiento en septiembre de 2025 es GhostFrame. Su arquitectura se basa en un simple archivo HTML que parece inofensivo, pero oculta su comportamiento malicioso dentro de un iframe incrustado, que dirige a las víctimas a una página de inicio de sesión de phishing para robar las credenciales de Microsoft 365 o de una cuenta de Google.
«El diseño del iframe también permite a los atacantes modificar fácilmente el contenido de phishing, probar nuevos trucos o atacar regiones específicas, todo ello sin modificar la página web principal que distribuye el kit», declaró Sreyas Shetty, investigador de seguridad de Barracuda. «Además, con solo actualizar la dirección del iframe, el kit puede evitar ser detectado por herramientas de seguridad que solo revisan la página externa».
Los ataques que utilizan este kit, comienzan con correos electrónicos de phishing típicos que supuestamente tratan sobre contratos comerciales, facturas y solicitudes de restablecimiento de contraseña, pero están diseñados para dirigir a los destinatarios a la página falsa. El kit utiliza antianálisis y antidepuración para evitar intentos de inspección con herramientas de desarrollo de navegadores y genera un subdominio aleatorio cada vez que alguien visita el sitio.
En la etapa final, se redirige a la víctima a una página secundaria que contiene los componentes de phishing a través del iframe distribuido mediante el subdominio en constante cambio, lo que dificulta el bloqueo de la amenaza. El kit también incorpora un mecanismo de respaldo, un iframe de respaldo adjunto al final de la página, en caso de que el JavaScript del cargador falle o se bloquee.
InboxPrime AI
Si BlackForce sigue la misma estrategia que otros kits de phishing tradicionales, InboxPrime AI va un paso más allá al aprovechar la inteligencia artificial para automatizar campañas de correo masivo. Se anuncia en un canal de Telegram con 1300 miembros mediante un modelo de suscripción de malware como servicio (MaaS) por 1000 dólares, que otorga a los compradores una licencia perpetua y acceso completo al código fuente.
«Está diseñado para imitar el comportamiento real del correo electrónico humano e incluso aprovecha la interfaz web de Gmail para evadir los mecanismos de filtrado tradicionales», dijeron los investigadores. InboxPrime AI combina inteligencia artificial con técnicas de evasión operativa y promete a los cibercriminales una capacidad de entrega casi perfecta, generación automatizada de campañas y una interfaz pulida y profesional que imita el software legítimo de marketing por correo electrónico.
La plataforma utiliza una interfaz intuitiva que permite a los clientes gestionar cuentas, servidores proxy, plantillas y campañas, imitando las herramientas comerciales de automatización de correo electrónico. Una de sus principales funciones es un generador de correo electrónico integrado con inteligencia artificial, capaz de generar correos electrónicos de phishing completos, incluyendo el asunto, de forma que imita la comunicación empresarial legítima.
De esta manera, estos servicios reducen aún más la barrera de entrada para los ciberdelitos, eliminando eficazmente el trabajo manual que implica redactar dichos correos electrónicos. En su lugar, los atacantes pueden configurar parámetros como el idioma, el tema o el sector, la extensión del correo electrónico y el tono deseado, que el kit de herramientas utiliza como entrada para generar señuelos convincentes que se ajusten al tema elegido.
«Esta industrialización del phishing tiene implicaciones directas para los defensores: ahora más atacantes pueden lanzar más campañas con mayor volumen, sin el consiguiente aumento del ancho de banda ni de los recursos de los defensores», explican. «Esto no solo acelera el tiempo de lanzamiento de las campañas, sino que también garantiza una calidad consistente de los mensajes, permite una segmentación temática escalable en todos los sectores y permite a los atacantes ejecutar operaciones de phishing con un aspecto profesional sin necesidad de conocimientos de redacción».
Spiderman
El tercer kit de phishing que ha estado bajo el radar de la ciberseguridad es Spiderman, que permite a los atacantes atacar a clientes de docenas de bancos europeos y proveedores de servicios financieros en línea, como Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna y PayPal.
«Spiderman es un framework de phishing integral que replica docenas de páginas de inicio de sesión de bancos europeos, e incluso algunos portales gubernamentales», afirmó Daniel Kelley, investigador de Varonis. «Su interfaz organizada proporciona a los ciberdelincuentes una plataforma integral para lanzar campañas de phishing, capturar credenciales y gestionar datos de sesión robados en tiempo real».
Lo destacable del kit modular es que su vendedor lo comercializa en un grupo de mensajería de Signal con unos 750 miembros, lo que supone un cambio con respecto a Telegram. Alemania, Austria, Suiza y Bélgica son los principales objetivos del servicio de phishing.
Al igual que en el caso de BlackForce, Spiderman utiliza diversas técnicas, como la inclusión en listas blancas de proveedores de servicios de internet (ISP), geofencing y filtrado de dispositivos, para garantizar que solo los destinatarios puedan acceder a las páginas de phishing. El kit de herramientas también está equipado para capturar frases semilla de monederos de criptomonedas, interceptar códigos OTP y PhotoTAN , y activar solicitudes para recopilar datos de tarjetas de crédito.
Las ventas de ordenadores crecieron un 9% en 2025: memoria y almacenamiento pueden frenarlas en 2026
Los ingresos por la venta de semiconductores crecieron un 21% en 2025
Dell actualiza su gama de almacenamiento PowerStore con mayor seguridad e inteligencia
Microsoft advierte a los administradores de TI del reemplazo de los certificados de arranque seguro
Red Hat y NVIDIA amplían su colaboración en IA empresarial
Laurent Perea será el nuevo CEO de Capgemini en España
Malas noticias para quienes esperan que los precios de la RAM se contengan: va a seguir subiendo
«La cultura se come a la estrategia en el desayuno…. y al compliance de postre»
“La IA convierte la cadena de suministro en un sistema anticipativo”
¿Qué empresas hacen una mayor aportación socioeconómica al PIB español?
Las tecnologías cuánticas se multiplican por cinco en 10 años
Siete tendencias tecnológicas clave para 2026, según T-Systems
Las ventas de ordenadores crecieron un 9% en 2025: memoria y almacenamiento pueden frenarlas en 2026
NVIDIA presenta los modelos de IA abiertos, Nemotron 3
¿Qué empresas hacen una mayor aportación socioeconómica al PIB español?
La IA seguirá siendo un desafío para la ciberseguridad en 2026
Transformación digital de los servicios públicos la UE: sus claves para el futuro
Red Hat compra Chatterbox Labs para poner límites a sus productos y servicios de IA
-
NoticiasHace 6 díasDell relanza su familia de portátiles XPS con dos nuevos modelos de 14 y 16 pulgadas
-
NoticiasHace 6 díasHP trae al CES 2026 equipos y servicios preparados para el futuro del trabajo
-
NoticiasHace 5 díasNueva Guía del Partner 2026, 10 años siendo el mapa esencial del canal TI en España.
-
A FondoHace 6 díasGIGABYTE amplía su línea de portátiles en el CES