fraud

Phishing con adversario en el medio (AiTM): Cómo los kits de phishing modernos eluden la autenticación multifactor (MFA) y permiten el compromiso del correo electrónico empresarial

SmartID · 13 de mayo de 2026 · 4 min de lectura
Phishing con adversario en el medio (AiTM): Cómo los kits de phishing modernos eluden la autenticación multifactor (MFA) y permiten el compromiso del correo electrónico empresarial

Durante años, las organizaciones han reforzado sus modelos de seguridad para proteger las credenciales.

Contraseñas más seguras, autenticación multifactor (MFA), inicio de sesión único (SSO) y arquitecturas de confianza cero se convirtieron en defensas estándar contra el phishing y el robo de cuentas.

Pero los atacantes se adaptaron. Hoy en día, algunas de las campañas de phishing más peligrosas ya no se centran en robar contraseñas.

Se centran en robar algo mucho más valioso: sesiones autenticadas.

Este es el auge del phishing con adversario en el medio (AiTM), un modelo que permite a los atacantes eludir la MFA, secuestrar sesiones legítimas y operar dentro de entornos de confianza sin activar alertas inmediatas.

Para las instituciones financieras, las empresas fintech y las empresas que operan en entornos de Microsoft 365, esto se ha convertido en uno de los riesgos de identidad más críticos en la prevención del fraude moderna.

¿Qué es el phishing AiTM?

Se trata de una técnica de phishing en la que el atacante coloca un proxy inverso malicioso entre la víctima y el servicio legítimo, como Microsoft 365, Google Workspace, Okta o portales bancarios.

En lugar de simplemente robar nombres de usuario y contraseñas, el atacante captura:

  • Credenciales válidas
  • Aprobaciones de autenticación multifactor (MFA)
  • Cookies de sesión
  • Tokens de OAuth
  • Tokens de autenticación persistente

Esto genera uno de los resultados más peligrosos en ciberseguridad:

La MFA se completa correctamente, pero el atacante aún obtiene acceso.

  • El delincuente no vulnera la MFA.
  • La víctima la completa voluntariamente.
  • Lo que se roba es la sesión autenticada que sigue.

Microsoft ha identificado AiTM como uno de los modelos de phishing más críticos que actualmente atacan a las empresas.

¿Por qué AiTM está creciendo tan rápido?

A medida que las organizaciones reforzaron las contraseñas, la MFA y el inicio de sesión único (SSO), los atacantes cambiaron su enfoque.

Dejaron de atacar las credenciales. Comenzaron a atacar las sesiones. Al mismo tiempo, el auge del Phishing como Servicio (PhaaS) puso la infraestructura de phishing sofisticada al alcance de casi cualquier persona. Hoy en día, los atacantes pueden alquilar kits completos de phishing AiTM sin necesidad de conocimientos técnicos avanzados.

Esto ha industrializado el fraude y ha incrementado drásticamente la escala de las campañas de phishing empresariales.

Los kits de phishing AiTM más peligrosos

Tycoon 2FA

Uno de los kits AiTM más avanzados actualmente en funcionamiento.

Fue diseñado específicamente para:

  • Elusión de la autenticación multifactor (MFA)
  • Robo de cookies de sesión
  • Compromiso de Microsoft 365
  • Compromiso de correo electrónico empresarial (BEC)

Microsoft informó que Tycoon 2FA fue responsable de campañas que afectaron a más de 500.000 organizaciones al mes en todo el mundo, generando decenas de millones de mensajes de phishing.

Su magnitud alcanzó tal nivel que Microsoft, Europol y socios del sector privado coordinaron esfuerzos para desmantelar su infraestructura en 2026.

EvilProxy

Uno de los kits de phishing empresarial más utilizados.

Sus principales fortalezas incluyen:

  • phishing mediante proxy inverso
  • clonación de portales legítimos
  • robo de cookies de sesión
  • campañas BEC altamente dirigidas

Se le vincula frecuentemente con el fraude de correo electrónico corporativo y el fraude de tesorería.

Sneaky 2FA

Un kit de rápido crecimiento que ganó gran popularidad en 2025.

Se especializa en:

  • Ataques dirigidos a Microsoft 365
  • Elusión de la autenticación multifactor (MFA)
  • Operaciones de phishing como servicio (PhaaS) basadas en Telegram
  • Automatización de credenciales mediante funciones de Microsoft

Barracuda lo identificó como parte del crecimiento acelerado de las operaciones de phishing como servicio.

¿Qué deben hacer las organizaciones a continuación?

  • Autenticación multifactor (MFA) resistente al phishing (FIDO2 / claves de acceso)
  • Validación de la integridad del navegador
  • Monitorización de sesiones
  • Planes de revocación de tokens
  • Detección de reglas sospechosas en la bandeja de entrada
  • Análisis del comportamiento
  • Análisis de la confianza en los dispositivos
  • Evaluación contextual del riesgo
  • Monitorización de transacciones en tiempo real

El objetivo ya no es simplemente verificar quién inició sesión.

Se trata de validar continuamente si la sesión sigue perteneciendo al usuario legítimo.

AiTM no es una evolución menor del phishing. Representa un cambio estructural en la forma en que opera el fraude corporativo moderno.

Anticípese al fraude

Reserve una reunión de 30 minutos con un especialista

Manténgase al tanto de las tendencias de fraude. Reciba información sobre identidad digital y prevención del fraude directamente en su correo electrónico.

Volver a artículos