Netcrook Logo
👤 DEBUGSAGE
🗓️ 19 Dec 2025   🌍 Africa

Dentro del Desmantelamiento: La Policía Nigeriana Captura al Cerebro Detrás de la Red Global de Phishing en Microsoft 365

Un importante desarrollador de phishing como servicio está bajo custodia tras una exhaustiva investigación que vincula a ciberdelincuentes nigerianos con miles de brechas en Microsoft 365 en todo el mundo.

Comenzó como tantas otras mañanas para los equipos de seguridad corporativa en todo el mundo: una alerta de inicio de sesión sospechoso, una página falsa de Microsoft 365 y otro conjunto de credenciales robadas. Pero esta vez, la historia termina con una rara victoria para las fuerzas del orden. En una operación coordinada, las autoridades nigerianas han arrestado al presunto desarrollador detrás de RaccoonO365, un notorio kit de phishing como servicio (PhaaS) que ha impulsado una ola de ciberataques contra empresas e instituciones en casi 100 países.

La investigación, liderada por el Centro Nacional de Ciberdelincuencia de Nigeria (NPF–NCCC), representa un golpe significativo contra el submundo del PhaaS. Trabajando junto a Microsoft y el FBI, los investigadores rastrearon las huellas digitales de RaccoonO365 hasta Okitipi Samuel, quien supuestamente operaba bajo el alias Moses Felix. Según declaraciones policiales, Samuel no solo desarrolló la sofisticada infraestructura de phishing, sino que también gestionaba un canal de Telegram donde vendía enlaces de phishing a cambio de criptomonedas y distribuía acceso a portales de inicio de sesión fraudulentos alojados en Cloudflare.

El kit RaccoonO365, rastreado por Microsoft como Storm-2246, permitía incluso a criminales con poca experiencia lanzar campañas convincentes de robo de credenciales. Al clonar páginas de autenticación de Microsoft 365, los atacantes engañaban a las víctimas para que entregaran sus datos de acceso, los cuales luego se usaban para infiltrarse en los sistemas de correo electrónico de corporaciones, instituciones financieras y universidades. Estas brechas a menudo escalaban a compromisos de correo empresarial (BEC), permitiendo a los criminales desviar fondos, robar datos sensibles e incluso lanzar ataques de ransomware.

En septiembre de 2025, Microsoft y Cloudflare incautaron 338 dominios vinculados a RaccoonO365, pero el daño ya estaba hecho. Los investigadores estiman que desde julio de 2024, la infraestructura del grupo permitió el robo de al menos 5,000 conjuntos de credenciales de usuarios en 94 países. La investigación también reveló el uso de estas credenciales para impulsar otros delitos cibernéticos, desde fraudes financieros hasta robo de propiedad intelectual.

La ofensiva se produce en medio de una campaña más amplia contra los operadores de PhaaS. Microsoft y Health-ISAC han presentado demandas civiles contra otros presuntos vendedores de kits, mientras que Google ha apuntado a grupos rivales de PhaaS como Darcula y Lighthouse, cuyas campañas de smishing y phishing han afectado a millones. Estas acciones colectivas señalan una nueva disposición entre los gigantes tecnológicos y las fuerzas del orden para desmantelar la infraestructura que permite el cibercrimen a gran escala.

A medida que las amenazas digitales se vuelven más sofisticadas, el desmantelamiento de RaccoonO365 representa tanto una advertencia como una rara victoria. Aunque un rey del phishing está tras las rejas, el juego global del gato y el ratón entre ciberdelincuentes y defensores está lejos de terminar. Por ahora, los defensores corporativos pueden respirar un poco más tranquilos, aunque solo sea por un momento.

WIKICROOK

  • Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Robo de Credenciales: El robo de credenciales es la sustracción de datos de acceso, como nombres de usuario y contraseñas, a menudo a través de sitios web falsos o correos electrónicos engañosos.
  • Compromiso de Correo Empresarial (BEC): El compromiso de correo empresarial (BEC) es una estafa en la que los criminales hackean o suplantan correos electrónicos empresariales para engañar a las compañías y hacer que envíen dinero a cuentas fraudulentas.
  • Smishing: El smishing es una estafa digital que utiliza SMS engañosos para robar datos personales o dinero a las víctimas, a menudo haciéndose pasar por entidades confiables.
  • Cloudflare: Cloudflare es un servicio que protege y acelera sitios web ocultando su ubicación real y bloqueando ataques, pero también puede enmascarar sitios maliciosos.
Nigerian Police Microsoft 365 Phishing Ring
DEBUGSAGE DEBUGSAGE
Software & Firmware Debugger
← Back to news