Phishing como Servicio (PhaaS): Lighthouse y Lucid atacan a 316 marcas

El phishing como servicio (PhaaS) se ha consolidado como uno de los modelos de negocio más rentables y peligrosos en el ecosistema cibercriminal. Dos de sus ofertas más activas, Lucid y Lighthouse, han sido vinculadas a más de 17,500 dominios de phishing que han atacado a 316 marcas en 74 países, de acuerdo con un reciente informe de Netcraft.

Este tipo de plataformas representa un cambio significativo en el mundo del cibercrimen: cualquier persona, incluso sin conocimientos técnicos avanzados, puede lanzar campañas de phishing masivas pagando una tarifa mensual y utilizando plantillas preconfiguradas que imitan la identidad visual de cientos de empresas reconocidas a nivel global.

¿Qué es Lucid PhaaS?

El kit de phishing Lucid fue documentado por primera vez por la empresa de ciberseguridad suiza PRODAFT en abril de 2025. Se trata de una plataforma diseñada para escalar ataques mediante el envío de smishing, es decir, mensajes fraudulentos por SMS, además de integraciones con Apple iMessage y RCS para Android.

Según los investigadores, Lucid está vinculado al grupo de habla china XinXin (changqixinyun), que ha operado también con otros kits como Lighthouse y Darcula. Estos vínculos muestran cómo diferentes actores de amenazas colaboran y comparten infraestructura para mejorar la efectividad de sus campañas.

Lucid destaca por su capacidad de segmentación. Permite configurar requisitos como el agente de usuario móvil, la geolocalización o la ruta de acceso a las URL de phishing. De esta manera, las páginas falsas solo se muestran a los objetivos seleccionados, mientras que los usuarios que no cumplen con los criterios ven un escaparate genérico, dificultando así la detección de la campaña.

Lighthouse PhaaS: más de 200 plantillas activas

Por su parte, Lighthouse ofrece un conjunto muy similar de funcionalidades. Suscribirse al servicio cuesta entre 88 dólares por semana y 1,588 dólares anuales, con acceso a plantillas que imitan más de 200 plataformas globales, además de monitoreo de víctimas en tiempo real.

Netcraft identificó que Lighthouse ha sido utilizado para atacar a 204 marcas en 50 países diferentes, con campañas dirigidas a instituciones financieras, servicios postales y gobiernos. Incluso, algunas campañas detectadas imitaron al servicio postal albanés Posta Shqiptare, lo que evidencia su alcance internacional.

La similitud técnica entre Lighthouse y Lucid sugiere que, aunque operan de manera independiente, existe un nivel de colaboración o superposición dentro del ecosistema PhaaS.

Nuevas tácticas de phishing: homógrafos y aplicaciones falsas

Además de los ataques tradicionales, los actores detrás de Lucid y Lighthouse han adoptado tácticas más sofisticadas. Una de ellas es el uso de ataques homógrafos, que consisten en registrar dominios falsos con caracteres muy similares a los legítimos. Por ejemplo, algunos utilizan el carácter japonés ん, que a simple vista se confunde con una barra diagonal "/".

Netcraft identificó al menos 600 dominios falsos que emplean esta técnica para atacar principalmente a usuarios de criptomonedas. Estas páginas fraudulentas se disfrazan de extensiones legítimas en la Chrome Web Store, ofreciendo aplicaciones falsas de billeteras como MetaMask, Coinbase, Exodus, OKX o Trust Wallet. Una vez instaladas, capturan frases semilla y credenciales, otorgando a los atacantes control total sobre los fondos digitales de las víctimas.

El regreso del correo electrónico como canal de ataque

Aunque en los últimos años los ciberdelincuentes habían adoptado plataformas como Telegram o Discord para exfiltrar información, Netcraft observó un resurgimiento del correo electrónico como canal para recopilar credenciales robadas.

Entre marzo y abril de 2025, la compañía registró un incremento del 25% en el uso de correo electrónico para estos fines. Servicios como EmailJS son explotados para robar datos de inicio de sesión y códigos de autenticación de dos factores (2FA), lo que elimina la necesidad de que los atacantes gestionen su propia infraestructura.

Este cambio se explica por dos factores:

• La naturaleza federada del correo electrónico, que dificulta la eliminación de direcciones fraudulentas.
• La conveniencia, ya que crear cuentas desechables es rápido, anónimo y gratuito.

Estafas de tareas y fraude financiero

Otra modalidad detectada es la de estafas de tareas, en las que los atacantes se hacen pasar por marcas reconocidas como Delta Airlines, AMC Theatres o Universal Studios. Las víctimas son atraídas con la promesa de ganar dinero al completar supuestas tareas en línea, como actuar como agentes de reserva. Sin embargo, para participar deben depositar al menos 100 dólares en criptomonedas, lo que termina siendo una vía de enriquecimiento ilícito para los ciberdelincuentes.

Un ecosistema criminal en expansión

La proliferación de plataformas como Lucid y Lighthouse confirma que el modelo de phishing como servicio seguirá creciendo. La facilidad de acceso, el bajo costo y la sofisticación de las herramientas convierten al PhaaS en una de las mayores amenazas de ciberseguridad globales.

Las empresas, gobiernos y usuarios individuales deben reforzar sus defensas, implementar sistemas de detección temprana de phishing y capacitar a los usuarios para identificar señales de fraude digital.

En un mundo donde el phishing se ha industrializado, la conciencia y la prevención son la primera línea de defensa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login