Una operación internacional coordinada ha logrado desmantelar Tycoon 2FA, un kit de phishing de tipo Adversary-in-the-Middle (AiTM) que permitía a ciberdelincuentes saltarse los sistemas de autenticación multifactor y comprometer cuentas de usuarios a gran escala. La actuación, considerada una de las más relevantes contra este tipo de amenazas, ha contado con la colaboración de compañías tecnológicas y organismos de seguridad de varios países.
La empresa de ciberseguridad Proofpoint ha participado en la operación junto a compañías como Microsoft, Cloudflare y Coinbase, además de otras entidades especializadas en inteligencia sobre amenazas. Las actuaciones policiales se han llevado a cabo bajo la coordinación de Europol, con la participación de fuerzas de seguridad de España, Portugal, Reino Unido, Polonia, Letonia y Lituania, que se han encargado de incautar servidores, dominios y parte de la infraestructura utilizada por la red.
Las investigaciones señalan que la mayoría de las campañas vinculadas a Tycoon 2FA se dirigían principalmente a usuarios de Estados Unidos y Canadá, aunque también se detectaron ataques en varios países europeos, entre ellos España, Alemania, Francia y Reino Unido.
Un servicio de phishing “llave en mano”
Tycoon 2FA comenzó a comercializarse en 2023 a través de la aplicación Telegram bajo el modelo conocido como phishing-as-a-service (PhaaS). Este sistema permitía que otros ciberdelincuentes adquirieran acceso a la herramienta y la adaptaran a sus propias campañas de ataque.
El kit estaba diseñado para interceptar credenciales de servicios como Microsoft 365 o Gmail. Para ello, utilizaba páginas de acceso fraudulentas alojadas en servidores controlados por los atacantes, desde donde podían capturar nombres de usuario, contraseñas e incluso cookies de sesión. Con esa información, los ciberdelincuentes obtenían control total sobre las cuentas y podían acceder a sistemas corporativos o servicios en la nube.
Según explicó Selena Larson, analista sénior de inteligencia de amenazas en Proofpoint, este tipo de ataques ha tenido consecuencias significativas:
“Los ataques de Tycoon han comprometido decenas de miles de cuentas en sectores críticos como salud, educación, gobierno o defensa. El control total de una cuenta puede derivar en ransomware o en la filtración de datos sensibles”.
El auge de los ataques contra identidades digitales
Los datos recopilados por Proofpoint reflejan el creciente protagonismo de los ataques centrados en las identidades digitales. Durante 2025, el 99 % de las organizaciones analizadas registró intentos de apropiación de cuentas, y el 67 % confirmó que los atacantes lograron acceder con éxito a alguna de ellas.
Además, el 59 % de las cuentas comprometidas contaba con sistemas de autenticación multifactor activados, lo que evidencia la capacidad de técnicas como el phishing AiTM para sortear incluso medidas de seguridad avanzadas.
Desde Proofpoint consideran que la desarticulación de la infraestructura de Tycoon 2FA y la identificación del presunto responsable de la herramienta supone un golpe importante para este tipo de servicios criminales.
“Esperamos que esta acción tenga un impacto significativo en el ecosistema del phishing de credenciales y debilite uno de los servicios AiTM más prolíficos del mundo”, señaló Larson.
La compañía subraya que su labor se centra en la protección de las personas dentro de las organizaciones, analizando grandes campañas maliciosas y compartiendo información clave con autoridades y empresas para frenar las amenazas que afectan a usuarios y empresas en todo el mundo.
