Desmantelan la plataforma de Tycoon 2FA, especializada en el 'phishing' para robar credenciales multifactor

La plataforma Tycoon 2FA operó desde 2023 y permitió interceptar inicios de sesión multifactor en servicios ampliamente usados, como Microsoft 365, Outlook y Gmail, afectando así a casi 100.000 organizaciones en distintos países. Según consignó Europol a través de un comunicado oficial, este sistema facilitó que actores maliciosos tuvieran acceso sin autorización a cuentas protegidas por varios niveles de seguridad, impactando a sectores esenciales como educación, salud e instituciones públicas.

La acción internacional que logró detener a Tycoon 2FA contó con la participación de la Policía Nacional y la Guardia Civil de España, en colaboración con cuerpos policiales de Lituania, Letonia, Portugal, Polonia y Reino Unido. La coordinación estuvo a cargo del Centro Europeo de Ciberdelincuencia de Europol y sumó a empresas del ámbito tecnológico como Microsoft, TrendMicro y Cloudflare, conforme detalló el medio citado. De acuerdo con la versión difundida por Europol, el desmantelamiento incluyó la incautación de 330 dominios web que integraban la infraestructura clave utilizada por la red de ‘phishing’.

El modus operandi de Tycoon 2FA estaba basado en el modelo ‘de phishing como servicio’, el cual permitía a sus suscriptores acceder a kits de herramientas enfocados en la interceptación de credenciales. Así, ciberatacantes remitían correos electrónicos fraudulentos que suplían la identidad de servicios legítimos y conseguían que usuarios introdujeran sus claves, incluso con autenticación multifactor. Una vez obtenida la información, las personas detrás de Tycoon 2FA podían ingresar a los sistemas en nombre de los usuarios legítimos, comprometiendo infraestructuras críticas.

La magnitud de la ofensiva cibernética quedó evidenciada en las cifras suministradas por Europol al subrayar que Tycoon 2FA generaba decenas de millones de correos electrónicos de phishing cada mes. La operación no solo vulneró a empresas, sino también a entidades educativas, hospitales y organismos públicos de numerosas regiones, según reportó el organismo europeo.

El papel de las empresas tecnológicas resultó determinante en la actuación conjunta. Microsoft, TrendMicro y Cloudflare aportaron capacidades técnicas indispensables para la identificación y neutralización de los dominios que sostenían el núcleo operativo de Tycoon 2FA. Según publicó Europol, la intervención de estas compañías colaboró en la toma de control de sitios utilizados para alojar contenido falso y gestionar el robo de credenciales.

Europol calificó el operativo como una de las mayores ofensivas globales contra una plataforma de ‘phishing’ orientada al robo de identificaciones protegidas por sistemas multilínea de autenticación. El organismo europeo explicó que el resultado supone la neutralización de una amenaza persistente que había incrementado el número y la sofisticación de ataques a escala internacional.

El comunicado proporcionado por Europol también resaltó la importancia de la cooperación público-privada para perseguir la actividad delictiva relacionada con la ciberdelincuencia y proteger los datos de usuarios de servicios digitales. La intervención conjunta de fuerzas policiales y firmas del sector privado permitió identificar las rutas de acceso utilizadas por Tycoon 2FA y rastrear la actividad ilegal hasta su infraestructura centralizada.

La participación de la Policía Nacional y la Guardia Civil representó un elemento clave dentro del marco de cooperación, dado el alcance de Tycoon 2FA sobre compañías y organismos españoles. Según la información de la agencia europea, la colaboración internacional permitió anticipar los movimientos de los administradores de la plataforma y ejecutar acciones coordinadas contra los lugares donde se encontraban los servidores y dominios en funcionamiento.

El servicio desmantelado ofrecía sus kits de ‘phishing’ bajo modalidad de suscripción, lo que facilitaba que individuos con distintos niveles de experiencia en ciberataques accedieran a procedimientos sofisticados contra barreras de seguridad avanzadas. Europol recalcó que la operación ayudó a retirar de circulación un recurso que, hasta ese momento, potenciaba la proliferación de intrusiones tanto en el ámbito comercial como institucional.

La investigación, respaldada también por el intercambio de inteligencia entre empresas tecnológicas y cuerpos policiales, permitió detener un flujo masivo de comunicaciones fraudulentas y reforzar la vigilancia sobre amenazas emergentes en plataformas de autenticación multifactor, según expuso Europol.

El desmantelamiento de Tycoon 2FA ilustra la evolución de la ciberdelincuencia desde ataques individuales hasta servicios estructurados orientados a facilitar el acceso a datos sensibles a gran escala. A través de la cooperación multinacional y la intervención de los actores implicados, la operación ejecutada bajo la dirección del Centro Europeo de Ciberdelincuencia logró interrumpir la actividad de una de las redes más activas en el ecosistema global del ‘phishing’ especializado.