Desmantelan red de 'phishing' W3LL que intentó robar 20 millones de dólares

El FBI y la policía de Indonesia han desmantelado una red global de 'phishing' (suplantación de identidad) llamada W3LL, que utilizaba herramientas disponibles para comprar y robar credenciales de cuentas. Se estima que intentaron defraudar más de 20 millones de dólares. Además, detuvieron al presunto creador de la herramienta, identificado como G.L.

Cómo funcionaba el 'phishing'

La red W3LL utilizaba un 'kit' de 'phishing', un conjunto de herramientas que permitían a los criminales crear páginas de inicio de sesión falsas, muy parecidas a las originales. De esta forma, engañaban a las víctimas para que ingresaran sus datos (nombre de usuario y contraseña), dándoles acceso a sus cuentas. Este 'kit' se vendía por unos 500 dólares.

• Los atacantes creaban sitios web falsos que parecían legítimos.
• Estos sitios simulaban ser portales de inicio de sesión de confianza.
• Así, capturaban las credenciales de las víctimas.

El 'kit' W3LL: una plataforma completa de ciberdelincuencia

Según el FBI, W3LL no era solo 'phishing', sino una plataforma completa para ciberdelincuentes. La empresa de ciberseguridad Group-IB documentó por primera vez W3LL en septiembre de 2023, destacando que los operadores usaban un mercado clandestino llamado W3LL Store para vender acceso al 'kit' W3LL Panel y otras herramientas para ataques BEC (Business Email Compromise, compromiso de correo electrónico empresarial). Se cree que el creador de este servicio ilegal ha estado activo desde 2017, desarrollando herramientas de 'spam' como PunnySender y W3LL Sender.

Bypass de autenticación multifactor y reventa de accesos

El W3LL Store también facilitaba la venta de credenciales robadas y acceso no autorizado a sistemas, incluyendo conexiones de escritorio remoto. Se estima que entre 2019 y 2023 se vendieron más de 25,000 cuentas comprometidas en esta tienda. W3LL se centraba principalmente en credenciales de Microsoft 365 y utilizaba técnicas de 'adversary-in-the-middle' (AitM) para robar 'cookies' de sesión y evitar la autenticación multifactor (MFA), una capa extra de seguridad. Incluso después de que W3LL Store cerró en 2023, la operación continuó a través de plataformas de mensajería encriptada, donde la herramienta fue renombrada y vendida activamente.

Qué significa esto para ti

Este caso subraya la importancia de la ciberseguridad para todos. Es crucial verificar siempre la autenticidad de los sitios web antes de ingresar tus datos, especialmente los de inicio de sesión. Activar la autenticación multifactor en tus cuentas es una barrera adicional importante, aunque no infalible. Mantente alerta ante correos electrónicos o mensajes sospechosos que te pidan información personal.