El fraude digital evolucionó de ataques realizados por especialistas a un modelo accesible para cualquier ciberdelincuente. A través del Phishing as a Service (PhaaS), los atacantes pueden adquirir kits listos para suplantar marcas, crear páginas falsas, automatizar campañas y robar credenciales de clientes de instituciones financieras.
AppGate, compañía especializada en acceso seguro y protección contra fraude, alertó que este modelo convirtió la suplantación de identidad en una amenaza masiva y escalable para bancos, cooperativas de crédito y fintechs en América Latina, donde la defensa ya no puede limitarse al momento en que el usuario inicia sesión.
“Plataformas como Tycoon2FA muestran la velocidad con que el phishing ha evolucionado, de un simple robo de credenciales a ataques de tipo adversary in the middle capaces de interceptar credenciales, códigos de autenticación y cookies de sesión, permitiendo a los atacantes eludir ciertos flujos de autenticación multifactor y acceder a cuentas bancarias sin ser detectados”, explicó Manuel Giraldo, Senior Manager de Prevención de Fraude para América Latina de AppGate.
La nueva frontera del fraude está antes del inicio de sesión
El Phishing as a Service redujo las barreras técnicas para cometer fraude digital, ya que permite que atacantes con menor conocimiento especializado lancen campañas masivas mediante herramientas previamente desarrolladas.
Estos kits incluyen plantillas que imitan marcas reconocidas, páginas falsas de inicio de sesión con apariencia legítima, mecanismos anti bot y anti análisis, paneles de seguimiento de víctimas en tiempo real, así como herramientas para capturar credenciales y cookies de sesión.
De acuerdo con Microsoft, plataformas como Tycoon2FA permitieron a actores menos especializados evadir algunos esquemas de autenticación multifactor y escalar ataques de compromiso de cuentas. Estos servicios incluso pueden adquirirse a través de canales como Telegram y Signal por alrededor de u$s 120.
Para los clientes, la experiencia puede resultar prácticamente idéntica a una interacción legítima: reciben un enlace, ingresan sus datos, completan los pasos de autenticación habituales y, sin saberlo, entregan información que puede ser utilizada por los delincuentes.
“Cuando una campaña de phishing suplanta a una institución financiera, el daño va mucho más allá de la credencial robada. Los clientes no siempre distinguen entre un sitio falso y la institución real. Desde su perspectiva, la marca de su banco fue utilizada para engañarlos”, señaló Giraldo.
El especialista explicó que cada página falsa, aplicación móvil fraudulenta, perfil apócrifo en redes sociales o dominio malicioso representa un riesgo reputacional para las instituciones financieras, ya que erosiona la confianza del usuario en los canales digitales.
Bancos deben anticipar ataques fuera de sus plataformas
Las estrategias tradicionales contra el fraude suelen enfocarse en detectar actividades sospechosas después de que el usuario inicia sesión o cuando intenta realizar una transacción; sin embargo, los ataques impulsados por PhaaS comienzan mucho antes.
Los delincuentes operan mediante sitios web falsos, campañas de SMS, correos electrónicos, redes sociales y dominios fraudulentos para obtener información del usuario antes de que llegue al entorno bancario real.
Cuando el cliente accede a la plataforma legítima, el atacante puede contar ya con credenciales, datos personales, tokens de sesión o información suficiente para intentar tomar control de la cuenta.
Ante este escenario, AppGate destacó que las instituciones financieras deben trasladar su primera línea de defensa fuera del perímetro tradicional, mediante herramientas de monitoreo, detección temprana de amenazas y controles basados en riesgo.
La combinación de autenticación adaptativa y mecanismos de protección permite reforzar la seguridad durante todo el recorrido digital del cliente: desde la aparición de una amenaza externa hasta el acceso a la cuenta y la ejecución de operaciones.
“El PhaaS ha cambiado la economía del fraude digital. Los atacantes ya no necesitan ser expertos: compran un kit, lanzan la campaña y esperan resultados. En Latinoamérica, donde la adopción de la banca digital crece aceleradamente, las instituciones financieras deben desplazar su primera línea de defensa hacia fuera del perímetro tradicional, monitoreando y desactivando amenazas antes de que el cliente sea víctima”, concluyó.