¿Para qué falsificar si pueden alquilar el original? Ciberdelincuentes ponen en jaque la propia idea de la autenticación de dos factores
Ahora los ladrones reciben el código de confirmación sin la menor demora.
En mercados clandestinos ha aparecido una nueva herramienta de phishing llamada Starkiller, que eleva este tipo de ataques a otro nivel. A diferencia de los kits habituales que replican páginas de inicio de sesión, no crea plantillas estáticas, sino que retransmite sitios reales en tiempo real. Esto permite a los atacantes eludir la autenticación multifactor (MFA) y complica el trabajo de las soluciones de defensa.
El proyecto es promovido por el grupo Jinkusu, que lo posiciona como una plataforma comercial bajo el modelo SaaS. Los desarrolladores destacan un alto porcentaje de ataques exitosos y actualizan el producto con regularidad. No obstante, la herramienta no está relacionada con la solución legal homónima de la empresa BC Security.
El esquema se basa en ejecutar un navegador Chrome sin interfaz de usuario dentro de un contenedor Docker. El operador indica la dirección de la marca deseada, tras lo cual el sistema despliega el entorno y carga la página de inicio de sesión auténtica. A continuación, la infraestructura de los atacantes actúa como un proxy inverso, transmitiendo datos entre la víctima y el sitio real. Todo el tráfico pasa por el servidor de los atacantes, lo que les da acceso a credenciales, cookies y tokens de sesión.
Como el usuario en realidad se autentica en el recurso real, los códigos de un solo uso y otros elementos de la protección multifactor llegan al servicio legítimo sin demoras. A cambio, los atacantes obtienen datos de sesión válidos y pueden acceder a la cuenta sin romper el propio mecanismo de autenticación multifactor (MFA). Este enfoque priva a las soluciones tradicionales de detección de la posibilidad de basarse en el análisis de plantillas de páginas: simplemente no existe HTML falsificado.
El panel de control no se limita a interceptar nombres de usuario y contraseñas. Los operadores ven sesiones activas en tiempo real, reciben notificaciones por Telegram y rastrean la geolocalización y el dispositivo de la víctima. En los materiales promocionales se anuncian módulos para recopilar datos bancarios, información de tarjetas y frases semilla de billeteras de criptomonedas. Una herramienta separada enmascara las URL, imitando dominios de servicios populares, incluidos Microsoft, Google y otras grandes plataformas. Para complicar el análisis se usan acortadores de URL y la técnica clásica del símbolo @, que oculta la dirección real.
El sistema automatiza la gestión de contenedores y certificados, por lo que para lanzar una campaña no se requieren conocimientos técnicos profundos. Esto reduce la barrera de entrada y amplía el grupo de posibles operadores. En torno al proyecto se ha formado una comunidad donde los participantes discuten funcionalidades y solicitan nuevas capacidades. El propio acceso al panel está protegido por autenticación en dos factores mediante códigos de un solo uso.
Los expertos consideran que herramientas como estas socavan la eficacia de los métodos tradicionales de filtrado basados en la reputación de dominios y el análisis estático de páginas. Al cargar dinámicamente contenido legítimo, las soluciones de defensa se ven obligadas a desplazar el enfoque hacia indicadores conductuales: anomalías en los inicios de sesión, reutilización de tokens de sesión y geografías de acceso atípicas. En el nivel del correo electrónico, esto supone un análisis más profundo del contexto de los mensajes, no solo de los enlaces que contienen.