Darcula (PhaaS): Robo de 884,000 Tarjetas de Crédito a través de 13 Millones de Clicks en Ataques de Phishing
Investigadores de ciberseguridad han descubierto una campaña masiva de Phishing-as-a-Service (PhaaS) denominada “Darcula”, que ha logrado comprometer aproximadamente 884,000 tarjetas de crédito mediante más de 13 millones de clicks en enlaces de phishing distribuidos a nivel global. Este esquema sofisticado evadió medidas de seguridad tradicionales y afectó a usuarios en múltiples países.
Mecanismo Técnico del Ataque
La plataforma Darcula opera bajo un modelo de servicio (PhaaS), permitiendo a actores maliciosos alquilar herramientas de phishing personalizables sin necesidad de conocimientos técnicos avanzados. Entre sus características destacadas se encuentran:
- Uso de dominios legítimos comprometidos con certificados SSL válidos para evadir filtros de seguridad.
- Páginas de phishing dinámicas que imitan portales bancarios, servicios postales y empresas de telecomunicaciones.
- Integración de CAPTCHAs falsos para engañar a los usuarios y aumentar la percepción de legitimidad.
- Infraestructura distribuida en más de 200 servidores ubicados en diferentes jurisdicciones.
Técnicas de Evasión y Distribución
Los operadores de Darcula implementaron múltiples capas de ofuscación:
- Redirecciones encadenadas a través de servicios de acortamiento de URLs y plataformas de mensajería como WhatsApp.
- Detección de entornos sandbox mediante análisis de user-agents y comportamientos de navegación.
- Rotación frecuente de dominios e IPs utilizando algoritmos de generación de nombres de dominio (DGA).
El malware asociado a esta campaña empleaba técnicas de inyección web para capturar datos sensibles directamente en los formularios de las víctimas, evitando así el almacenamiento local que podría ser detectado por soluciones antivirus.
Impacto y Datos Comprometidos
Según el análisis forense, la campaña afectó principalmente a:
- Instituciones financieras (62% de los ataques)
- Empresas de logística y paquetería (23%)
- Proveedores de servicios públicos (15%)
Los datos robados incluían no solo información de tarjetas de crédito (con CVV y fechas de expiración), sino también credenciales de acceso completo, direcciones físicas y números de teléfono asociados a las cuentas comprometidas.
Recomendaciones de Mitigación
Para organizaciones y usuarios finales:
- Implementar soluciones de autenticación multifactor (MFA) en todos los servicios críticos.
- Capacitar al personal en reconocimiento de señales de phishing avanzado.
- Utilizar herramientas de monitoreo de dark web para detectar exposición de credenciales.
- Actualizar sistemas de detección de fraude con inteligencia artificial para patrones anómalos.
Este caso demuestra la creciente profesionalización del cibercrimen como servicio, donde grupos operan con estructuras empresariales complejas y modelos de suscripción. La investigación continúa para identificar a los operadores detrás de Darcula y desmantelar su infraestructura.
