El mal hábito de hacer clic en «No soy un robot»: por qué en 2026 ya no puedes fiarte ni del captcha estándar
Europol no logró paralizar definitivamente a Tycoon2FA, la mayor plataforma de phishing.
Intentaron «apagar» la popular plataforma para el robo de cuentas, pero el efecto fue breve. Ya a los pocos días de la operación de las fuerzas del orden, el servicio Tycoon2FA volvió a funcionar casi con normalidad.
El 4 de marzo de 2026 Europol anunció el apagado técnico de la infraestructura de Tycoon2FA – un servicio por suscripción que ayudaba a los delincuentes a eludir la autenticación multifactor y a hackear cuentas de correo. En la operación participaron las fuerzas del orden de seis países junto con empresas privadas. Incautaron el control de 330 dominios que sostenían el funcionamiento de la plataforma.
Tycoon2FA surgió en 2023 y pronto se convirtió en una de las principales herramientas para el phishing. El servicio operaba con el modelo de «malware como servicio» y permitía que incluso participantes sin experiencia lanzaran ataques complejos. A mediados de 2025, Tycoon2FA era responsable de hasta el 62% de todos los ataques de phishing que Microsoft bloqueaba, y en un mes la plataforma enviaba más de 30 millones de correos maliciosos.
Tras el apagado de la infraestructura la actividad efectivamente disminuyó, pero no por mucho tiempo. Ya al día siguiente el volumen de ataques cayó aproximadamente al 25% de su nivel anterior, y luego volvió rápidamente a las cifras previas. Al mismo tiempo aumentó el número de compromisos de cuentas en la nube, lo que indica la reanudación del funcionamiento del servicio.
Tycoon2FA sigue utilizando los mismos esquemas. A la víctima le envían un correo con un enlace a una página falsa con una verificación captcha. Tras pasar la verificación, los atacantes interceptan cookies de sesión y las credenciales de acceso. Luego la plataforma accede automáticamente a la cuenta de la víctima, eludiendo las protecciones. Las páginas falsas imitan servicios como Microsoft 365 o Google y a menudo se crean con modelos generativos para parecer lo más convincentes posible.
Tras la operación de marzo, los atacantes no cambiaron sus métodos, pero usan activamente nuevos dominios e infraestructura. En los ataques se emplean enlaces acortados, servicios legítimos de alojamiento de archivos e incluso sitios comprometidos. Algunas campañas distribuyen enlaces maliciosos a través de SharePoint o se disfrazan como correos comerciales para generar confianza.
En los primeros dos días tras la operación, los especialistas registraron al menos 30 ataques que usaban Tycoon2FA. Parte de la infraestructura sobrevivió al apagado, y los atacantes comenzaron a conectar nuevos servidores y direcciones IP casi de inmediato. Los accesos a las cuentas comprometidas suelen provenir de direcciones IPv6 del proveedor europeo M247.
Es interesante que intentos aislados de usar la infraestructura de Cloudflare fracasaron: en lugar de las páginas de phishing se devolvían páginas de sustitución.
La historia de Tycoon2FA muestra bien cómo operan hoy en día esos servicios. Incluso tras perder parte de su infraestructura, los operadores se recuperan con rapidez, registran nuevos dominios y continúan los ataques sin una pausa notable. Desconectar por completo plataformas similares es difícil si a las medidas técnicas no siguen las detenciones.
Sin embargo, ese tipo de operaciones sí afectan a los atacantes. Pierden recursos, sufren interrupciones y arriesgan su reputación entre los «clientes». Pero en el caso de Tycoon2FA el efecto fue temporal: el servicio sigue funcionando y sigue siendo una amenaza significativa.