Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

Salty2FA: El kit de phishing que supera las defensas de doble factor

Una nueva generación de phishing como servicio está esquivando las capas de seguridad y poniendo a las empresas de EE. UU. y la UE en el punto de mira.

Datos Rápidos

  • Salty2FA es un kit de phishing diseñado para evadir múltiples métodos de autenticación de doble factor (2FA).
  • Activo desde mediados de 2025, apunta a industrias que van desde las finanzas hasta la energía en EE. UU. y Europa.
  • Salty2FA puede interceptar credenciales y códigos 2FA, permitiendo la toma total de cuentas.
  • Utiliza correos electrónicos señuelo realistas y páginas de inicio de sesión falsas para engañar a los empleados y hacer que entreguen información sensible.
  • Las defensas tradicionales tienen dificultades, por lo que la detección basada en comportamiento y el sandboxing son cruciales para la protección.

La nueva cara del phishing: surge Salty2FA

Imagina a un ladrón que no solo fuerza la cerradura de tu puerta principal, sino que también intercepta tu código de seguridad mientras lo introduces. Esa es la escalofriante realidad detrás de Salty2FA, el último kit de Phishing como Servicio que está causando sensación entre las empresas de EE. UU. y Europa. Aparecido por primera vez a principios de 2025, Salty2FA se ha convertido rápidamente en la herramienta preferida de los ciberdelincuentes para superar incluso las defensas de autenticación de doble factor más robustas.

Cómo funciona Salty2FA: Anatomía de un ataque

El manual de Salty2FA es tan sofisticado como efectivo. Los atacantes envían un correo electrónico convincente con temática empresarial - por ejemplo, “Corrección de pago 2025” - a los empleados, atrayéndolos para que hagan clic en un enlace. Ese enlace lleva a una página falsa de inicio de sesión de Microsoft, casi indistinguible de la real. Si la víctima introduce sus datos, esas credenciales se envían instantáneamente a los servidores del atacante. Pero el verdadero truco de Salty2FA es su evasión del 2FA: cuando se requiere un segundo paso de autenticación, el kit captura los códigos de un solo uso entregados por notificación push, SMS o incluso llamada de voz, abriendo la puerta a la toma total de la cuenta.

Investigadores de seguridad de ANY.RUN han observado este kit en acción en sectores como finanzas, salud, energía y más. Su infraestructura está diseñada para evadir filtros automáticos, utilizando servicios como Cloudflare para pasar desapercibido ante las detecciones tradicionales. La cadena de ataque es multinivel, lo que dificulta que los defensores lo detecten sin ver todo el proceso en tiempo real.

Phishing como servicio: una amenaza en evolución

Salty2FA forma parte de un mercado creciente de plataformas de Phishing como Servicio (PhaaS), que permiten incluso a criminales con poca experiencia alquilar capacidades avanzadas. Kits similares - como EvilProxy y Caffeine - han sido noticia en los últimos años, pero Salty2FA sube la apuesta al apuntar a una gama más amplia de industrias y sortear múltiples métodos de 2FA a la vez. Su modelo flexible de suscripción facilita a los ciberdelincuentes lanzar ataques a gran escala, con una inversión inicial mínima.

El auge de estos kits refleja un cambio más amplio en la economía del cibercrimen: los ataques son más rápidos, baratos y convincentes que nunca, y la línea entre amenazas avanzadas y “cotidianas” se está difuminando. Para las empresas que operan en sectores críticos - finanzas, energía, gobierno - el riesgo de una brecha ya no es cuestión de si ocurrirá, sino de cuándo.

Defenderse de Salty2FA: ¿Qué funciona ahora?

Las defensas tradicionales - como poner en listas negras dominios sospechosos o confiar en indicadores estáticos - no son rival para Salty2FA, cuya infraestructura cambia a diario. Se recomienda a los equipos de seguridad centrarse en la detección basada en comportamiento: buscar patrones en cómo operan las páginas de phishing, no solo dónde están alojadas. El sandboxing interactivo, que permite a los analistas observar de forma segura toda la cadena de ataque en tiempo real, está demostrando ser invaluable. También se insta a las empresas a reforzar la autenticación multifactor usando tokens de aplicación o hardware, y a capacitar a los empleados para detectar señuelos financieros en sus bandejas de entrada.

A medida que kits de phishing como Salty2FA evolucionan, también deben hacerlo los defensores. La nueva carrera armamentista no se trata solo de cerraduras más fuertes, sino de formas más inteligentes de detectar una intrusión antes de que ocurra. Por ahora, la vigilancia, la formación y la detección avanzada son la primera línea de defensa contra este intruso silencioso y cambiante.

WIKICROOK

  • Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Two: La autenticación de doble factor (2FA) es un método de seguridad que requiere dos tipos diferentes de identificación para acceder a una cuenta, dificultando el hackeo.
  • Sandboxing: El sandboxing es un método para probar archivos o enlaces sospechosos en un entorno seguro y aislado para detectar amenazas sin poner en peligro los sistemas reales.
  • Credential Harvesting: El robo de credenciales es el hurto de datos de inicio de sesión, como nombres de usuario y contraseñas, a menudo a través de sitios web falsos o correos electrónicos engañosos.
  • Behavioral Detection: La detección basada en comportamiento es un método de seguridad que identifica amenazas al monitorear patrones o comportamientos inusuales en la actividad digital, no solo malware conocido.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news