LO ESENCIAL
El Phishing-as-a-Service (PhaaS) ha transformado la suplantación de marcas en una amenaza masiva y accesible, obligando a bancos y fintechs a proteger a sus clientes antes de que accedan a sus plataformas. Con la llegada del PhaaS, cualquier atacante puede adquirir kits listos para usar, páginas falsas de inicio de sesión y herramientas de automatización por menos de 120 dólares, reduciendo la barrera de entrada y multiplicando los ataques contra instituciones financieras en toda la región, según AppGate, compañía especializada en acceso seguro y prevención de fraude.
El PhaaS es un modelo de negocio en el que los ciberdelincuentes alquilan o compran kits de phishing preconfigurados para lanzar campañas a gran escala. Estas herramientas incluyen plantillas que imitan marcas de confianza, como bancos o plataformas de pago, páginas de inicio de sesión falsas con apariencia legítima, técnicas anti-bot y anti-análisis para evadir detecciones, paneles de gestión para monitorear víctimas en tiempo real y captura de credenciales, cookies y tokens de sesión, incluso eludiendo la autenticación multifactor (MFA).
CONTEXTO
Lo más alarmante es que estos kits se comercializan abiertamente en Telegram y Signal, lo que facilita su acceso a cualquier persona con intenciones maliciosas. El daño va más allá del robo de credenciales. Cuando una campaña de phishing suplanta a una institución financiera, la confianza del cliente se ve gravemente afectada. Desde la perspectiva del usuario, la marca de su banco fue utilizada para engañarlo, y esto erosiona la reputación de la entidad.

EN PERSPECTIVA
En una región donde la adopción de la banca digital crece aceleradamente, el impacto del PhaaS puede ser devastador. Muchas defensas tradicionales actúan después de que el cliente inicia sesión o realiza una transacción. Sin embargo, los ataques impulsados por PhaaS comienzan fuera de la plataforma bancaria: en sitios web falsos, enlaces maliciosos, campañas de SMS o redes sociales. Para cuando el usuario llega a la página real de su banco, el atacante ya puede tener sus credenciales, tokens de sesión o datos personales.
Ante este escenario, las instituciones financieras deben adelantar su línea de defensa. Según Manuel Giraldo, Senior Manager de Prevención de Fraude para América Latina de AppGate, la clave está en monitorear amenazas fuera del perímetro tradicional, como sitios web falsos o dominios fraudulentos, implementar autenticación adaptativa y controles basados en riesgo, y educar a los clientes sobre cómo identificar intentos de phishing. La combinación de estas estrategias permite proteger
Etiquetas: Ciberdelincuencia, Fraudes, Seguridad, Banca Digital, Nacional · Cripto + fraudes
amaneciendo.com.mx Tu ventana al mundo