Microsoft incauta 340 sitios web vinculados a un servicio de suscripción de phishing

La firma obtuvo una orden judicial en Nueva York para incautar sitios vinculados a una red que operaba con 850 suscriptores y generó al menos US$100.000 en criptomonedas.

Microsoft incautó cerca de 340 sitios web vinculados a un servicio de suscripción de phishing que crecía rápidamente y que permitió robar credenciales de miles de usuarios. La compañía obtuvo una orden judicial en la Corte del Distrito Sur de Nueva York para desactivar los dominios relacionados con Raccoon0365, una operación basada en Nigeria que desde julio de 2024 ofrecía a sus suscriptores herramientas listas para ejecutar campañas masivas de suplantación digital, según informó Reuters.

De acuerdo con Steven Masada, asesor legal adjunto de la Unidad de Crímenes Digitales de Microsoft, Raccoon0365 operaba a través de un canal privado en Telegram con más de 850 suscriptores y generó al menos US$100.000 en criptomonedas. El servicio facilitaba la creación de páginas falsas que imitaban el acceso a cuentas de Microsoft, logrando sustraer más de 5.000 credenciales de usuarios. “Los ciberdelincuentes no necesitan ser sofisticados para causar daños generalizados. Herramientas simples como Raccoon0365 hacen que el cibercrimen sea accesible para prácticamente cualquiera”, señaló Masada en un blog corporativo.

La investigación identificó a Joshua Ogundipe, con base en Nigeria, como principal operador de la red. Los ataques apuntaron a múltiples sectores e incluyeron campañas con temas fiscales que, solo entre el 12 y el 28 de febrero de este año, intentaron vulnerar a más de 2.300 organizaciones en Estados Unidos. Parte de la actividad estuvo dirigida específicamente a instituciones en Nueva York, según documentos judiciales.

El impacto alcanzó también al sector salud. Errol Weiss, director de seguridad de Health-ISAC, que colaboró con Microsoft en la acción legal, confirmó que al menos cinco organizaciones médicas sufrieron robo de credenciales y que en total se detectaron intentos contra 25 entidades sanitarias. “Muchos ataques empiezan porque alguien entrega su usuario y contraseña al atacante. Una vez dentro, el criminal tiene múltiples formas de monetizar el acceso”, explicó Weiss.

La infraestructura de Raccoon0365 se apoyaba en servicios de Cloudflare para ocultar sus operaciones. La compañía tecnológica trabajó con Microsoft y el Servicio Secreto de Estados Unidos para interrumpir la actividad y bloquear la apertura de nuevas cuentas. Blake Darché, jefe de inteligencia de amenazas de Cloudflare, reconoció que, aunque los operadores cometieron errores de seguridad operacional, su efectividad fue significativa.

Le puede interesar: Phishing 2025: cómo enfrentarse a las nuevas trampas digitales en Panamá y el mundo