PhaaS: El phishing ya se vende como suscripción y el MFA ya no alcanza
Durante años, el consejo de seguridad más repetido en cualquier empresa fue simple: activa la autenticación de doble factor y estarás protegido. Era un buen consejo. Era. Hoy, un informe publicado el 25 de mayo de 2026 por el Google Threat Intelligence Group cambia esa ecuación de forma dramática.
El reporte documenta la evolución acelerada del ecosistema de Phishing-as-a-Service (PhaaS) en comunidades de habla china, un mercado que ha madurado hasta ofrecer herramientas de ataque tan sofisticadas que no solo evaden el MFA, sino que lo convierten en una falsa sensación de seguridad. Y lo hacen de forma automatizada, escalable y culturalmente localizada para cualquier país del mundo, incluyendo los de América Latina.
En este artículo analizamos qué encontró Google, qué significa para las empresas en Perú y la región, y qué acciones concretas puedes tomar hoy mismo.
El MFA interceptado en tiempo real: el ataque que cambia todo
El cambio más significativo que documenta el reporte no es técnico en su superficie, pero sus implicaciones son enormes. Los servicios PhaaS modernos ya no se conforman con robar contraseñas estáticas. Ahora operan con paneles de administración en vivo que permiten al atacante interactuar con la víctima en tiempo real.
El flujo del ataque funciona así: la víctima hace clic en un enlace malicioso enviado por RCS o iMessage, ingresa sus credenciales en una página que parece completamente legítima, y en ese mismo instante el atacante ve esos datos en su panel. Inmediatamente, el atacante replica la solicitud de OTP en su propio dispositivo. La víctima recibe el código en su teléfono, lo ingresa en la página falsa creyendo que está completando un proceso normal, y el atacante lo captura en segundos, antes de que expire.
El resultado: el código de un solo uso, que fue diseñado precisamente para ser irrepetible e intransferible, queda comprometido en el mismo momento en que existe. No hay ventana de tiempo para reaccionar.
Por si fuera poco, estos ataques llegan vía RCS e iMessage precisamente porque estos protocolos usan cifrado de extremo a extremo, lo que dificulta que los filtros tradicionales de los operadores de telecomunicaciones detecten los enlaces maliciosos. Los mensajes también se ven más legítimos que un SMS convencional, con indicadores de lectura, imágenes de alta resolución y formatos ricos que aumentan la credibilidad del engaño.
IA para clonar sitios y evadir detección: el escalamiento industrial del fraude
El segundo hallazgo clave del reporte es la adopción de inteligencia artificial dentro de estas plataformas de phishing. Servicios como Darcula, vinculado al grupo UNC5814, ya no dependen de plantillas estáticas. En cambio, utilizan generadores de páginas impulsados por IA y herramientas de automatización de navegador como Puppeteer para clonar cualquier sitio web legítimo con solo proporcionar su URL.
Esto tiene una consecuencia directa en la defensa: los sistemas de detección basados en firmas, que identifican phishing comparando páginas contra una base de datos de sitios maliciosos conocidos, quedan obsoletos. Cuando cada página generada es única, no hay firma que comparar.
El reporte también documenta el caso de YY Lai Yu (YY来鱼), un servicio que desde agosto de 2024 ofrece más de 400 plantillas localizadas para 119 países, con una concentración particular en Japón. Lo más revelador de este caso no es la escala, sino el nivel de inteligencia cultural aplicada: los atacantes no solo tradujeron interfaces, sino que construyeron señuelos alrededor de hábitos de consumo locales, programas de puntos de fidelidad, subsidios de electricidad de invierno, y apps de pago móvil dominantes en ese mercado.
La pregunta que surge naturalmente es: ¿cuánto tiempo antes de que ese mismo nivel de localización se dirija a Perú, México, Colombia o Chile? La respuesta honesta es que la infraestructura para hacerlo ya existe.
¿Cómo aplica esto en empresas en Perú y Latinoamérica?
Las empresas medianas en la región tienen una exposición particular a este tipo de amenazas por tres razones. Primero, muchas han adoptado MFA como su principal —y a veces única— capa de seguridad avanzada, sin capas adicionales de protección. Segundo, el uso de billeteras digitales y pagos móviles está creciendo aceleradamente en toda la región. Tercero, los equipos de TI en PYMEs rara vez tienen recursos para monitorear amenazas emergentes en tiempo real.
Lo que este reporte deja claro es que la seguridad perimetral clásica ya no es suficiente. El vector de ataque ya no es la infraestructura técnica, sino el comportamiento humano en tiempo real. Y eso requiere un enfoque diferente.
Algunos puntos de atención directos para empresas en la región:
- Los sistemas ERP y de gestión empresarial que manejan pagos, accesos financieros o datos de clientes son objetivos de alto valor para ataques de Account Takeover (ATO).
- Los colaboradores que usan sus dispositivos móviles personales para acceder a sistemas corporativos amplían significativamente la superficie de ataque.
- Las integraciones con pasarelas de pago o billeteras digitales dentro de plataformas como Odoo deben tener controles adicionales más allá del MFA estándar.
- La capacitación en seguridad debe actualizarse para incluir escenarios de phishing vía RCS e iMessage, no solo correo electrónico.
¿Cómo aplica esto en tu empresa?
La primera acción concreta es revisar qué sistemas críticos de tu empresa dependen únicamente del MFA basado en OTP como segunda capa de seguridad. Si la respuesta incluye tu ERP, tu banca en línea corporativa o tus pasarelas de pago, es momento de evaluar alternativas más robustas como llaves de seguridad físicas (FIDO2/WebAuthn) o autenticación basada en certificados.
La segunda acción es implementar monitoreo de sesiones con detección de anomalías. Si un usuario inicia sesión desde Lima y treinta segundos después hay actividad desde otro país, ese es un indicador que debería generar una alerta inmediata, no un reporte semanal.
La tercera, y quizás la más subestimada, es la capacitación continua del equipo. No como un curso anual obligatorio, sino como actualizaciones periódicas cortas que muestren ejemplos reales y actuales de cómo lucen estos ataques hoy. Un colaborador que reconoce un mensaje de RCS sospechoso es más valioso que cualquier firewall.
Finalmente, si tu empresa utiliza Odoo u otro ERP con integraciones de pago o acceso a datos financieros, es recomendable realizar una revisión de los flujos de autenticación y los permisos de acceso a módulos sensibles. En Consultoría-Ti hemos acompañado a empresas en Perú en este tipo de revisiones, y frecuentemente encontramos configuraciones que fueron adecuadas en su momento pero que hoy representan un riesgo no visible.
Conclusión
El phishing dejó de ser un correo mal redactado con faltas de ortografía. Hoy es un servicio profesional, con soporte, actualizaciones, localización cultural e inteligencia artificial integrada. El reporte de Google Threat Intelligence publicado hoy es una señal clara de que las amenazas están evolucionando más rápido que las defensas en la mayoría de las organizaciones.
La buena noticia es que la protección también existe. Pero requiere ir más allá del MFA estándar y construir una postura de seguridad que asuma que el atacante ya tiene la contraseña y el código OTP. Desde ese punto de partida, las decisiones de seguridad cambian completamente.
En Consultoría-Ti trabajamos con empresas en Perú y Latinoamérica para revisar y fortalecer la seguridad de sus sistemas de gestión, integraciones y flujos digitales. Si quieres evaluar el estado actual de tu empresa, contáctanos y conversamos sin compromiso.
Fuentes y Referencias
✨ Contenido generado con ContentFlow — Consultoría-Ti