Un kit de phishing se compra en la dark web por menos de lo que cuesta una cena. Así de accesible se ha vuelto el fraude online. Lo que antes requería conocimientos técnicos avanzados —montar un servidor, clonar una web, configurar la captura de credenciales— ahora viene empaquetado en un ZIP con instrucciones paso a paso. El modelo phishing as a service (PhaaS) ha democratizado la estafa digital, y las herramientas de phishing disponibles en foros de la dark web rivalizan en usabilidad con productos SaaS legítimos. Suena absurdo, pero el PaaS tiene hasta soporte técnico por Telegram. Bienvenido al supermercado del cibercrimen.
Qué contiene un kit de phishing y por qué debería preocuparte
Un kit típico incluye plantillas HTML que clonan páginas de login de bancos, redes sociales o servicios de correo. También incorpora scripts PHP o Python para capturar las credenciales introducidas y reenviarlas al atacante por email, Telegram o un panel de control. Algunos kits más sofisticados añaden mecanismos de evasión: detección de bots, geofencing para mostrar la página falsa solo en ciertos países, y certificados SSL para que el candado verde aparezca en el navegador.
La estructura suele ser modular. El comprador elige qué marca quiere suplantar —Microsoft 365, PayPal, Correos, CaixaBank— y el kit genera la página con logos, tipografías y colores corporativos actualizados. Grupos como 16shop, BulletProofLink y Caffeine han operado plataformas completas de phishing as a service con paneles de administración que recuerdan a un CRM comercial.
Según informes de Microsoft Threat Intelligence publicados en 2021, BulletProofLink llegó a ofrecer más de 100 plantillas de phishing distintas con precios desde 50 dólares por campaña hasta suscripciones mensuales de aproximadamente 800 dólares por acceso ilimitado. El proveedor incluso alojaba las páginas fraudulentas en su propia infraestructura.
Cómo funciona el modelo PhaaS: phishing con atención al cliente
El phishing as a service replica el modelo de negocio SaaS al pie de la letra. El operador —que actúa como proveedor— gestiona la infraestructura, actualiza las plantillas cuando las marcas cambian su diseño, y ofrece soporte técnico. El cliente —el estafador novato— solo necesita una lista de correos electrónicos víctima y algo de criptomoneda para pagar.
Los planes suelen escalonarse:
| Nivel | Precio aproximado | Incluye |
|---|---|---|
| Básico | 50-100 USD/mes | 1-2 plantillas, panel básico, envío manual |
| Pro | 200-500 USD/mes | Múltiples plantillas, hosting incluido, envío masivo |
| Enterprise | 800+ USD/mes | Plantillas personalizadas, evasión anti-phishing, soporte 24/7 |
Algunos proveedores de herramientas de phishing practican lo que se conoce como double theft: además de vender el kit, configuran una puerta trasera para quedarse con una copia de las credenciales robadas por sus propios clientes. Ladrones robando a ladrones. La poesía del cibercrimen.
Plataformas como Caffeine, documentada por Mandiant en 2022, ni siquiera operaban exclusivamente en la dark web. Su registro estaba abierto en la web convencional y aceptaba cualquier dirección de correo para crear una cuenta. Sin verificación, sin preguntas. Si alguna vez te han pillado en un phishing y no sabías qué hacer, probablemente el atacante usó algo parecido.
Técnicas de evasión: por qué tu filtro de spam no siempre los detecta
Los kits modernos de dark web phishing incorporan técnicas diseñadas específicamente para esquivar filtros de correo y sistemas de detección. Las más habituales:
- Ofuscación de HTML/JavaScript: el código fuente de la página falsa se codifica en Base64 o se fragmenta para dificultar el análisis estático.
- Redirectores legítimos: usan servicios como Google AMP, Firebase, Cloudflare Workers o incluso LinkedIn Smart Links para redirigir a la página de phishing. El enlace inicial apunta a un dominio de confianza.
- CAPTCHA intermedio: colocan un CAPTCHA antes de la página falsa. Los crawlers de seguridad no lo resuelven y nunca llegan a ver el contenido fraudulento.
- Evasión por User-Agent: si detectan que el visitante es un bot, un sandbox o un investigador de seguridad, muestran una página inofensiva o un error 404.
- Adversary-in-the-middle (AiTM): kits avanzados como EvilProxy y Evilginx2 actúan como proxy inverso entre la víctima y el servicio legítimo. Capturan no solo usuario y contraseña, sino también las cookies de sesión, lo que permite bypass de autenticación multifactor (MFA).
Este último punto merece atención. Los ataques AiTM han convertido el MFA basado en SMS o códigos TOTP en una barrera menos robusta de lo que muchos asumen. El kit de phishing retransmite la sesión en tiempo real: la víctima introduce su código 2FA en la página falsa, el proxy lo inyecta en el servicio real, y el atacante obtiene la cookie de sesión autenticada. Grupos como Storm-1295 (rastreado por Microsoft) operaban EvilProxy como servicio para terceros.
Para proteger infraestructuras más amplias, la misma lógica de defensa en capas que se aplica en ciberseguridad de infraestructura crítica es relevante aquí: ninguna medida única basta.
Señales para identificar una página de phishing generada por kit
Aunque los kits producen réplicas convincentes, dejan rastros. Estas son las señales más fiables:
- URL sospechosa: el dominio no coincide con el servicio real. Busca guiones extraños, subdominios largos o TLDs inusuales (.xyz, .top, .buzz). Un banco español no opera desde
caixabank-login.top. - Certificado SSL genérico: comprueba el certificado. Los kits usan Let's Encrypt (legítimo, pero gratuito y automático). Si el certificado está emitido para un dominio diferente o tiene días de antigüedad, sospecha.
- Campos excesivos: la página pide información que el servicio real no solicita en el login. Número de tarjeta en una página de acceso a email, por ejemplo.
- Errores sutiles: traducciones imperfectas, textos legales copiados de otra marca, o imágenes con resolución incorrecta. Los kits se actualizan, pero no siempre al ritmo de las webs legítimas.
- Comportamiento post-login: tras introducir las credenciales, te redirige a la web real del servicio. El kit captura tus datos y te manda al sitio legítimo para que no sospeches.
Herramientas como VirusTotal permiten analizar URLs sospechosas antes de hacer clic. Y urlscan.io muestra capturas y análisis detallados de cualquier página web sin necesidad de visitarla.
Cómo protegerte del phishing industrializado
Si las herramientas de phishing se han profesionalizado, la defensa también debe escalar. Estas medidas reducen significativamente el riesgo:
- Llaves de seguridad FIDO2/WebAuthn: las YubiKey o Titan Security Key son resistentes a ataques AiTM porque la autenticación está vinculada criptográficamente al dominio legítimo. Un proxy no puede replicar esa verificación.
- Gestores de contraseñas: 1Password, Bitwarden o KeePass no autocompletan credenciales en dominios que no coincidan exactamente. Si el gestor no rellena el campo, pregúntate por qué.
- Filtrado DNS: servicios como Quad9 (9.9.9.9) o Cloudflare Gateway bloquean dominios de phishing conocidos a nivel de resolución DNS.
- Verificación fuera de banda: si recibes un email pidiendo acción urgente, contacta con el servicio por otro canal (app oficial, teléfono). No sigas el enlace del correo.
- Monitorización de credenciales: Have I Been Pwned notifica si tus credenciales aparecen en filtraciones. Configura alertas para tus emails principales.
Para quienes gestionan dominios propios o pequeños negocios, mantener copias de seguridad automatizadas permite recuperarse más rápido si un ataque compromete datos o sistemas.
Si hablamos de entorno doméstico, incluso dispositivos IoT pueden servir como vector de entrada. Los atacantes buscan el eslabón más débil, y a veces ese eslabón es un dispositivo conectado mal configurado, algo que conocen bien quienes trabajan con domótica y seguridad del hogar.
Preguntas frecuentes
¿Cuánto cuesta un kit de phishing en la dark web?
Los precios varían. Un kit básico con una plantilla puede encontrarse por 20-50 dólares. Las plataformas de phishing as a service con múltiples plantillas, hosting y soporte oscilan entre 100 y 800 dólares mensuales según las funcionalidades. Algunos operadores ofrecen modelos de reparto de beneficios en lugar de tarifa fija.
¿El MFA protege contra estos kits de phishing?
El MFA basado en SMS o códigos temporales (TOTP) añade una capa de protección, pero los kits con proxy AiTM como EvilProxy o Evilginx2 pueden interceptar la sesión en tiempo real y capturar las cookies autenticadas. Las llaves FIDO2 son la opción más resistente a este tipo de ataques.
¿Es ilegal comprar un kit de phishing?
Sí. En España, el artículo 248 del Código Penal tipifica la estafa informática. Poseer y utilizar herramientas diseñadas para cometer fraude constituye un delito. La Directiva europea 2013/40/UE también aborda la producción y distribución de herramientas para ciberataques. Las penas incluyen prisión de hasta seis años según la cuantía defraudada.
¿Cómo denuncio una página de phishing?
Puedes reportarla a Google Safe Browsing, al INCIBE (017 o incibe.es), a la Policía Nacional o Guardia Civil, y directamente a la marca suplantada. Cuanto antes se reporte, antes se bloquea el dominio y menos víctimas caen.
El siguiente paso
Abre tu gestor de contraseñas —o instala uno si aún no lo tienes— y activa una llave de seguridad FIDO2 en tus cuentas más críticas: email principal, banco y servicios cloud. Si eso no es viable ahora mismo, como mínimo revisa en Have I Been Pwned si alguna de tus direcciones ya está comprometida. El phishing as a service ha convertido la estafa en un negocio escalable y barato; tu defensa necesita estar a la altura. Y si quieres entender qué pasa cuando ya has mordido el anzuelo, aquí tienes los pasos urgentes para actuar.
