El servicio de phishing ha sido desmantelado: el impacto en los sistemas de autenticación en dos pasos y en las actividades ilegales relacionadas con este tipo de fraude.

Esta acción coordinada representa un ataque directo contra la infraestructura fundamental de los ciberdelitos modernos. Microsoft, Europol y otros socios del sector lograron confiscar 330 dominios que utilizaban para alimentar la plataforma Tycoon 2FA. Se trata de una plataforma de phishing como servicio, que ha estado activa desde al menos el año 2023. La función principal de esta plataforma era permitir que miles de ciberdelincuentes se hicieran pasar por usuarios reales y pudieran superar los controles de seguridad, incluyendo el uso de autenticación de múltiples factores, con el fin de obtener acceso no autorizado a correos electrónicos y cuentas en línea.

La escala de esta operación era impresionante. Para mediados de 2025, Tycoon 2FA ya era responsable de…Aproximadamente el 62 por ciento de todos los intentos de phishing fueron bloqueados por Microsoft.Incluyendo más de 30 millones de correos electrónicos en un solo mes. Esta infraestructura permitió que los mensajes fraudulentos llegaran a más de 500,000 organizaciones en todo el mundo. Los sectores de la salud y la educación fueron los más afectados. El diseño del servicio, que incluía tanto las credenciales como los códigos de autenticación en tiempo real, permitió a los atacantes operar con la plena confianza de los usuarios legítimos. Esto facilitó la realización de ataques posteriores, como el robo de datos y el uso de amenazas de tipo ransomware.

Esta interrupción debe ser considerada dentro del contexto más amplio de la economía del tráfico ilícito. En el año 2025, la cantidad total de dinero robado mediante estafas relacionadas con criptomonedas alcanzó un nivel récord.17 mil millonesUno de los factores clave que contribuyeron a este aumento fue el uso de tácticas de suplantación de identidad. Se registró un crecimiento del 1400% en comparación con el año anterior. Tycoon 2FA fue uno de los principales medios para facilitar este tipo de ataques, ya que proporcionaba herramientas escalables y de fácil implementación, lo que permitía a los delincuentes suplantar a entidades confiables y robar fondos. Al cortar este canal de suministro, las autoridades encargadas de la aplicación de la ley y los socios del sector pudieron intervenir en un nodo crítico de la cadena de suministro delictiva, relacionada con la usurpación de cuentas y el fraude financiero.

El papel del phishing en la economía del tráfico ilícito

El phishing es el método más utilizado para obtener fondos ilícitos en el mundo de las criptomonedas. En enero de 2026, los ataques que utilizaban técnicas de ingeniería social fueron los principales medios para lograr este objetivo.311.3 millones de dólares en criptomonedas robadasSe trata del mayor total mensual en los últimos 11 meses. Este número representa un aumento de casi cuatro veces en comparación con el mismo período del año pasado. Además, supera en más de tres veces las pérdidas registradas en diciembre. Esto demuestra una aceleración significativa en este vector de ataque específico.

Los totales mensuales están muy desviados debido a los incidentes atípicos. En enero, un único escenario de fraude por ingeniería social, con un valor de 284 millones de dólares, representó la mayor parte de las pérdidas por phishing, que sumaron 311.3 millones de dólares. Esto demuestra cómo los ataques de alto valor pueden distorsionar los promedios mensuales. Además, destaca el impacto financiero catastrófico que pueden tener las campañas de falsificación de identidad exitosas, algo que es precisamente lo que Tycoon 2FA permite.

Esta actividad forma parte de una economía ilícita más amplia, que alcanzó un nivel récord.158 mil millones en el año 2025Una parte significativa de este volumen se relaciona con el tráfico de personas. En este contexto, los flujos de criptomonedas que llegan a las víctimas del tráfico de personas también son importantes.Un 85% en comparación con el año anterior.La integración de las criptomonedas en estos ecosistemas criminales demuestra que los ataques de tipo “phishing” y los fraudes no son incidentes aislados, sino pasos cruciales en una red más amplia de actividades criminales. Estos ataques sirven para canalizar los fondos robados y permitir la realización de otras actividades ilícitas.

Catalizadores y riesgos: Seguimiento del impacto en el flujo

El factor clave para juzgar el éxito de una acción de captura de criptomonedas es una disminución constante en el número total de robos de criptomonedas por mes. En enero de 2026, el valor de las criptomonedas robadas aumentó significativamente.370.3 millones de dólaresEs el mayor total mensual en 11 meses. Este número, que se debe en gran medida al phishing y a la ingeniería social, representa un aumento de casi cuatro veces en comparación con el mismo período del año anterior. Si hubiera una disminución significativa en este número durante los próximos trimestres, eso indicaría que la interferencia causada por Tycoon 2FA está teniendo efectos tangibles y duraderos en la economía del flujo ilícito.

El riesgo principal es que los estafas sofisticados, basados en la inteligencia artificial, podrían continuar o pasar a utilizarse en otras plataformas, lo que permitiría mantener los volúmenes de transacciones ilegales. Las pruebas muestran que…Los estafas que se realizan con el uso de la inteligencia artificial son, en términos de rentabilidad, 4.5 veces más rentables que las estafas tradicionales.En el año 2025, estas operaciones avanzadas, que a menudo incluyen tácticas de falsificación de identidad, es probable que se adapten rápidamente. Los criminales podrían pasar a utilizar herramientas de phishing-as-a-service que estén menos vigiladas, o bien desarrollar una infraestructura completamente nueva y más resistente. De esta manera, el volumen total de fondos ilícitos obtenidos seguirá siendo elevado, a pesar de la pérdida de un nodo importante en la red.

Un señal de monitoreo específico es un cambio en el comportamiento del grupo de personas que realizan transacciones ilegales. A medida que aumenta la presión de las autoridades, los criminales pueden consolidar sus operaciones. Es importante observar si hay un cambio de transacciones de bajo valor y alto volumen hacia transacciones de mayor valor y con menor cantidad de operaciones. Este patrón indica que la infraestructura criminal está madurando, y los fondos se lavan de manera más eficiente, a través de transferencias más pequeñas pero más grandes, con el fin de evitar ser detectados. Si se observa este cambio, será una señal clave de que el ecosistema criminal se está adaptando, en lugar de colapsar.