Una operación policial a escala mundial desmantela Tycoon 2FA, una plataforma de phishing que eludía la autenticación multifactorial y alimentaba ciberataques masivos, gracias a la coordinación entre Coinbase, Microsoft y Europol en un esfuerzo por desarticular la infraestructura que sustenta el robo generalizado de credenciales.
Coinbase, Microsoft y Europol desmantelan una importante plataforma de phishing y eliminan 330 dominios
ESCRITO POR
COMPARTIR
Coinbase, Microsoft y Europol coordinan una operación policial mientras Tycoon 2FA envía millones de correos electrónicos de phishing al mes
La coordinación internacional entre las empresas tecnológicas y las fuerzas del orden se está ampliando para hacer frente a la ciberdelincuencia. La plataforma de intercambio de criptomonedas Coinbase (Nasdaq: COIN) comunicó el 4 de marzo que había colaborado con Microsoft, Europol y socios del sector para desarticular Tycoon 2FA. En otro comunicado publicado el mismo día, Europol detalló la operación global dirigida contra la plataforma de phishing. Coinbase declaró:
«Nos hemos asociado con Microsoft, Europol y otros socios del sector para desarticular Tycoon 2FA (Tycoon), una plataforma de phishing como servicio utilizada para robar credenciales y eludir la autenticación multifactorial (MFA) mediante la captura de tokens de sesión».
La MFA, o autenticación multifactorial, es un método de seguridad que requiere que los usuarios verifiquen su identidad utilizando dos o más factores, como una contraseña combinada con un código de un solo uso, la aprobación de una aplicación de autenticación o una llave de seguridad de hardware. El Centro Europeo de Ciberdelincuencia (EC3) de Europol coordinó el esfuerzo internacional y facilitó el intercambio de información a través de su Programa de Extensión de Inteligencia Cibernética, que conecta a analistas e investigadores del sector privado que trabajan en casos de ciberdelincuencia transfronteriza.
Activo desde al menos agosto de 2023, Tycoon 2FA funcionaba como un conjunto de herramientas por suscripción que permitía a los ciberdelincuentes interceptar sesiones de autenticación en directo y eludir las protecciones de autenticación multifactorial. Los investigadores descubrieron que la plataforma generaba decenas de millones de correos electrónicos de phishing cada mes y permitía el acceso no autorizado a casi 100 000 organizaciones de todo el mundo, entre ellas escuelas, hospitales e instituciones públicas.
Europol señaló que «a mediados de 2025, Tycoon 2FA representaba aproximadamente el 62 % de todos los intentos de phishing bloqueados por Microsoft» y detalló:
«Como parte de la operación, se cerraron 330 dominios que formaban la infraestructura central del servicio delictivo, incluidas páginas de phishing y paneles de control».
La operación técnica contó con la participación de Microsoft y varios socios del sector privado, mientras que las fuerzas del orden de Letonia, Lituania, Portugal, Polonia, España y el Reino Unido llevaron a cabo incautaciones y medidas coercitivas coordinadas a través de Europol. Otras organizaciones que contribuyeron a la investigación fueron Cloudflare, Intel471, Proofpoint, Shadowserver Foundation, Spycloud y Trend Micro. Los investigadores también rastrearon los flujos de pagos en criptomonedas vinculados a la financiación y la infraestructura de la plataforma.
Coinbase destacó: «Las interrupciones como esta funcionan mejor cuando son sostenidas. Seguiremos colaborando con Microsoft, las fuerzas del orden y otros actores del sector para identificar a los operadores, aumentar el coste de la gestión de estos servicios y ayudar a evitar que las criptomonedas se utilicen para financiar la ciberdelincuencia».
Preguntas frecuentes 🧭
- ¿Por qué es importante para los inversores la ofensiva contra Tycoon 2FA? Porque supone una colaboración más estrecha entre las empresas tecnológicas, las empresas de criptomonedas y las fuerzas del orden para proteger las plataformas digitales y reducir los riesgos de ciberdelincuencia.
- ¿Cómo eludía Tycoon 2FA los sistemas de seguridad? El kit de herramientas de phishing interceptaba las sesiones de inicio de sesión en tiempo real y capturaba los tokens de autenticación, lo que permitía a los piratas informáticos eludir la autenticación multifactorial.
- ¿Qué papel desempeñó Coinbase en la investigación? Coinbase se asoció con Microsoft, Europol y empresas de seguridad para rastrear la infraestructura, analizar los flujos de pagos con criptomonedas e interrumpir la red de phishing.
- ¿Por qué está aumentando la coordinación global contra la ciberdelincuencia? Las autoridades y las empresas tecnológicas están compartiendo información y recursos para combatir las sofisticadas operaciones de ciberdelincuencia que operan a través de las fronteras.
