💡 Resumen (TL;DR):
- Microsoft y autoridades europeas incautaron 330 dominios clave para derribar la infraestructura de Tycoon 2FA.
- La plataforma ejecutaba el 62% de los intentos de phishing a nivel global mediante un modelo de suscripción.
- Los cibercriminales robaban credenciales y evadían la autenticación multifactor (MFA) en tiempo real.
Microsoft, Europol y una coalición tecnológica ejecutaron el desmantelamiento coordinado de Tycoon 2FA, una de las redes de phishing como servicio más grandes de la historia. Mediante una orden de un tribunal federal en Estados Unidos y operativos simultáneos en seis países de Europa, las autoridades incautaron 330 dominios que operaban como la columna vertebral del sistema.
Tycoon 2FA es un servicio criminal por suscripción que intercepta sesiones de autenticación en tiempo real para capturar credenciales, códigos de acceso de un solo uso y cookies. Su objetivo técnico era volver completamente inútil la protección de la autenticación multifactor (MFA).
Activa desde agosto de 2023, la red operaba con tarifas de 120 dólares por una licencia de 10 días. Este modelo de negocio permitió a cerca de 2,000 suscriptores acceder a un kit prefabricado que incluía sitios de inicio de sesión falsos y capas de proxy listas para atacar.
El impacto de industrializar el cibercrimen
El alcance de la plataforma dominaba el panorama de ataques corporativos. Para mediados de 2025, Tycoon 2FA era responsable del 62% de todos los intentos de phishing bloqueados por Microsoft. La operación era masiva:
- Enviaban más de 30 millones de correos fraudulentos en un solo mes.
- Alcanzaron a 500,000 organizaciones en todo el mundo.
- Acumularon 96,000 víctimas confirmadas, de las cuales 55,000 eran clientes de Microsoft.
- Golpearon críticamente al sector salud y educativo, comprometiendo al menos dos hospitales, seis escuelas y tres universidades en Nueva York.
Investigadores de TrendAI (la unidad empresarial de Trend Micro) rastrearon la operación hasta un individuo conocido en foros bajo los alias SaaadFridi y MrXaad. Microsoft identificó oficialmente a este desarrollador y operador principal como Saad Fridi, quien presuntamente opera desde Pakistán.
“Esta no fue una simple campaña de phishing. Fue un servicio industrializado construido para hacer que la evasión de MFA fuera accesible para miles de criminales”, explicó Robert McArdle, director de investigación de cibercrimen en TrendAI.
La histórica ofensiva marca la primera vez que Microsoft utiliza el Programa de Extensión de Inteligencia Cibernética de Europol. El esfuerzo sumó capacidades de empresas como Cloudflare para eliminar infraestructura internacional y Coinbase para rastrear fondos robados, junto con la intervención de fuerzas del orden en Letonia, Lituania, Portugal, Polonia, España y el Reino Unido.
Aunque este golpe fractura la cadena de suministro del cibercrimen y sigue la línea de ataques previos contra Lumma Stealer y RedVDS, los analistas de seguridad advierten que miles de cookies de sesión y credenciales robadas previamente por Tycoon 2FA siguen activas y listas para ser explotadas en el mercado negro.
