Coinbase y Microsoft desmantelan la plataforma de phishing 'Tycoon 2FA'

Coalición incauta 330 dominios de un importante servicio de phishing

Una coalición internacional de empresas tecnológicas y agencias de aplicación de la ley, incluyendo Coinbase, Microsoft y Europol, ha desmantelado la infraestructura central de Tycoon 2FA. Esta plataforma de Phishing-as-a-Service (PhaaS) proporcionaba a los criminales un kit de herramientas para eludir la autenticación multifactor (MFA). La operación coordinada resultó en la incautación de infraestructura clave y el bloqueo de 330 dominios vinculados al servicio, cerrando eficazmente un canal importante para el robo de credenciales.

El kit de herramientas de Tycoon 2FA ofrecía falsificaciones de alta fidelidad de páginas de destino legítimas para robar credenciales de usuario. De manera crucial, también capturaba cookies de sesión y tokens, un método que permite a los atacantes secuestrar una sesión autenticada y eludir completamente las protecciones MFA. Esta técnica redujo la barrera técnica para los ciberdelincuentes, permitiéndoles ejecutar sofisticadas tomas de control de cuentas, compromisos de correo electrónico empresarial y fraudes de facturas.

Tycoon 2FA afectó a 96.000 víctimas desde 2023

La escala de la plataforma fue significativa, destacando la amenaza persistente del phishing que costó a los inversores en criptomonedas 722 millones de dólares en 2025. Activa desde al menos 2023, Tycoon 2FA fue utilizada para atacar a un estimado de 96.000 víctimas distintas en todo el mundo, incluyendo más de 55.000 clientes de Microsoft. En su pico a mediados de 2025, el servicio representó el 62% de todos los intentos de phishing bloqueados por Microsoft, lo que incluyó más de 30 millones de correos electrónicos maliciosos en un solo mes.

La eficacia del servicio permitió a los criminales atacar una amplia gama de industrias, desde la atención médica hasta la educación. Las consecuencias incluyeron facturas redirigidas, robo de datos sensibles e interrupciones en servicios críticos como la atención al paciente, haciendo de su desmantelamiento una victoria crucial para los esfuerzos de ciberseguridad a nivel global.

El análisis Blockchain de Coinbase ayuda a desenmascarar al operador

Coinbase desempeñó un papel clave en la investigación al aplicar sus capacidades de análisis de blockchain al caso. El equipo de seguridad del exchange rastreó las transacciones de criptomonedas utilizadas para financiar la plataforma Tycoon 2FA. Esta inteligencia financiera fue crucial para las fuerzas del orden, ya que ayudó a identificar tanto a los compradores del servicio ilícito como al presunto desarrollador principal de la plataforma, Saad Fridi, quien tiene su sede en Pakistán. Esta acción subraya el creciente papel de las empresas nativas de criptomonedas en la lucha contra la ciberdelincuencia global y la mejora de la seguridad en toda la economía digital.