La startup experta en ciberseguridad, SILIKN, alertó que fueron identificadas campañas maliciosas de correo electrónico que utilizan el kit de phishing “Rockstar 2FA”, diseñado específicamente para robar credenciales de cuentas de Microsoft 365.
De acuerdo con la firma fundada por Víctor Ruiz, las campañas identificadas emplean un ataque AitM (adversario en el medio), que puede superar protecciones como la autenticación multifactor (MFA), ya que el atacante actúa como un proxy entre el usuario y el servidor, capturando credenciales, tokens de acceso o datos sensibles en tiempo real. Esto permite al atacante suplantar la identidad de la víctima, incluso en sesiones consideradas seguras, para llevar a cabo fraudes, robos de información o accesos no autorizados.
Lo anterior es muy relevante considerando que el kit de phishing identificado, al igual que versiones anteriores, se promociona en plataformas como ICQ, Telegram y Mail.ru, ofreciendo un modelo de suscripción de 200 pesos por dos semanas o 350 pesos por un mes.
Además, el enfoque que tiene facilita que incluso ciberdelincuentes con poca o nula experiencia técnica puedan lanzar campañas a gran escala.
“Las páginas de phishing están diseñadas para replicar con alta precisión las interfaces de inicio de sesión de organizaciones objetivo, incluidas varias dependencias del gobierno de México, que figuran entre las más vulnerables a este tipo de suplantación.
Algunas de más expuestas a este tipo de imitación son:
- Instituto Mexicano del Seguro Social (IMSS)
- Servicio de Administración Tributaria (SAT)
- Gobierno del Estado de Yucatán
- Gobierno del Estado de Tabasco
- Canal del Congreso
- Unidad De Especialidades Médicas del Estado de Baja California
- Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento de Cajeme del Estado de Sonora
- Congreso del Estado de Yucatán
- Sistema Operador de los Servicios de Agua Potable y Alcantarillado del Municipio de Atlixco del Estado de Puebla
- Agua y Saneamiento de Toluca del Estado de México
- Sistema Integral del Aseo Público de León del Estado de Guanajuato
- Gobierno del Estado de Colima
- Consejo de Ciencia y Tecnología del Estado de Tabasco
- Ayuntamiento de Champotón del Estado de Campeche
- Secretaría del Agua y Medio Ambiente del Gobierno del Estado de Zacatecas
- Secretaría de Asuntos Parlamentarios del Estado de México
Cabe mencionar que los datos proporcionados por las víctimas se envían directamente al servidor AiTM, donde las credenciales exfiltradas se utilizan para obtener la cookie de sesión de la cuenta comprometida.
“Para protegerse contra amenazas como Rockstar 2FA, es fundamental implementar medidas avanzadas de seguridad, como autenticación multifactor robusta basada en hardware o biometría que no dependa únicamente de códigos SMS o cookies”, indicó SILIKN.
También, añadió, es clave educar a los usuarios para identificar intentos de phishing y verificar cuidadosamente las URL antes de ingresar credenciales.
Además, las organizaciones deben emplear soluciones de detección y respuesta contra amenazas (XDR), monitoreo continuo de accesos sospechosos, y herramientas que inspeccionen enlaces en tiempo real para identificar redirecciones maliciosas, además de limitar los permisos de acceso a cuentas sensibles.
er





