A pesar de que la autenticación de doble factor es una de las herramientas que siempre recomendamos activar para proteger nuestras cuentas de ciberdelincuentes, se ha demostrado que tampoco es un método infalible. Y es que gracias al análisis en profundidad de la firma de ciberseguridad Sekoia, hemos descubierto la existencia de una herramienta que permite evadir las técnicas de 2FA (Two-factor Authentication) en servicios como Gmail o Microsoft 365.

Esta herramienta, promocionada como un ‘kit como servicio’, se está compartiendo en foros de ciberdelincuencia y permite evadir las protecciones basadas en la verificación de dos pasos. Se llama Tycoon 2FA, lleva un buen tiempo rondando por la red y ahora se ha actualizado con nuevas medidas para atacar cuentas de Gmail y Microsoft 365.

La verificación de dos pasos ya no es infalible

Tycoon 2FA fue por primeva vez visto por la firma de ciberseguridad en octubre de 2023, aunque todo apunta a que la herramienta lleva activa desde agosto del mismo año. Según afirman desde Sekoia, se trata de uno de los kits de phishing más compartidos de la red y desde febrero de 2024 se ha identificado una nueva versión que ha mejorado sus capacidades de antidetección.

Los investigadores han podido encontrar páginas web listas para su uso para atacar mediante phishing cuentas de Gmail, comenzando desde los 120 dólares por 10 días de uso. También hay páginas que hacen lo mismo para los servicios de Microsoft 365. Además de en múltiples foros enfocados en el hacking, …