El doble factor de autenticación era la muralla que separaba a las empresas de un ataque masivo. Ahora, con Salty2FA, esa muralla se convierte en papel mojado. El nuevo kit de Phishing-as-a-Service (PhaaS), detectado por ANY.RUN, ya está golpeando a empresas en EE.UU. y Europa con un nivel de eficacia que preocupa incluso a los SOC mejor preparados.
Un phishing que ya no se conforma con tu contraseña
Hasta ahora, la mayoría de kits se quedaban con usuario y clave. Pero Salty2FA va un paso más allá: intercepta códigos push, SMS y hasta llamadas de voz. Eso significa que, si caes en el engaño, tu cuenta corporativa pasa directamente a manos del atacante. No hay segunda oportunidad.
Este modelo PhaaS está diseñado para escalar rápido. En cuestión de semanas, ha pasado de unas pruebas tímidas en marzo a campañas activas desde junio. Hoy se analizan decenas de muestras nuevas cada día en los laboratorios de ANY.RUN.
¿Quién está en el punto de mira?
Los ataques no son indiscriminados. El mapa de campañas dibuja un patrón claro:
-
EE.UU.: finanzas, energía, sanidad, logística, educación, IT consulting…
-
Europa (Reino Unido, Alemania, España, Italia, Grecia, Suiza): telecomunicaciones, energía solar, industria química, inmobiliarias.
-
Otros mercados (India, Canadá, LATAM): logística, metalurgia, consultoría.
En España, sectores como telecos y energía ya están bajo presión. Un déjà vu tras incidentes previos como el reciente zero-day de WhatsApp, que demostró lo vulnerable que puede ser incluso una app omnipresente .
Anatomía de un ataque Salty2FA
Un caso real ilustra la mecánica:
-
El gancho: un correo con asunto “External Review Request: 2025 Payment Correction”. Urgencia y lenguaje corporativo.
-
El señuelo: enlace a una página de inicio de sesión clonada de Microsoft, disfrazada bajo Cloudflare.
-
El robo: la víctima introduce credenciales, que se exfiltran al instante.
-
El golpe final: el kit solicita el código 2FA y lo intercepta en tiempo real.
Lo demoledor no es la sofisticación técnica, sino la capacidad de industrializar el fraude y ponerlo al alcance de cualquier delincuente digital con tarjeta prepago.
Cómo defenderse: lecciones para SOCs
Los expertos coinciden en que los IOC estáticos no sirven: dominios y hashes cambian a diario. La clave está en observar el comportamiento: patrones de redirecciones, lógica de formularios, persistencia de infraestructura.
Algunas medidas críticas:
-
Sandboxing interactivo para detonar correos sospechosos y ver la cadena completa.
-
Endurecer MFA: tokens físicos y apps como Authenticator, nunca SMS ni llamadas.
-
Formación en ganchos financieros: si huele a “corrección de pago”, probablemente sea un anzuelo.
-
Integrar inteligencia de amenazas en SIEM y SOAR para reducir carga manual.
👉 Ya lo vimos con otros ataques dirigidos a credenciales corporativas como en este repaso a lo más jugoso en ciberseguridad o con el auge del phishing corporativo en WhatsApp . Salty2FA solo confirma que la frontera es cada vez más difusa entre ingeniería social y automatización criminal.
Lo que nadie te cuenta sobre esto
La mayor amenaza no es que roben tu contraseña, ni siquiera tu 2FA. Es que la confianza en la seguridad corporativa se erosiona. Cada empleado que recibe un correo así y duda si es real está perdiendo tiempo, foco y, al final, productividad. El verdadero éxito de Salty2FA es psicológico: hace sentir que el castillo nunca estuvo protegido.
¿Y tú? ¿Seguirías confiando en tu SMS de verificación después de leer esto?
0 Comentarios