### Cooperación Internacional Lleva al Desmantelamiento de Infraestructura de Phishing El **Buró Federal de Investigación (FBI)** de EE. UU., trabajando junto a la Policía Nacional de Indonesia, ha desmantelado con éxito la infraestructura de una operación global de phishing. Esta operación utilizó un kit de herramientas comercial llamado **W3LL** para robar credenciales de cuentas e intentar más de $20 millones en actividades fraudulentas. Las autoridades también han detenido al presunto desarrollador, identificado como G.L., e incautado dominios cruciales asociados con el esquema de phishing. Según una declaración del **FBI**, "El desmantelamiento corta un recurso importante utilizado por los ciberdelincuentes para obtener acceso no autorizado a las cuentas de las víctimas". ### Kit de Phishing W3LL: Una Plataforma de Ciberdelincuencia El kit de phishing **W3LL** permitía a los delincuentes crear réplicas realistas de páginas de inicio de sesión legítimas, engañando a las víctimas para que divulgaran sus credenciales y permitiendo a los atacantes tomar el control de sus cuentas. Este kit se vendía supuestamente por alrededor de $500. "Esto no era solo phishing, era una plataforma de ciberdelincuencia con servicio completo", declaró el Agente Especial a Cargo del **FBI** en Atlanta, Marlo Graham. "Continuaremos trabajando con nuestros socios encargados de hacer cumplir la ley, tanto nacionales como extranjeros, utilizando todas las herramientas disponibles para proteger al público". ### La Tienda W3LL y su Impacto **Group-IB** documentó por primera vez **W3LL** en septiembre de 2023, detallando el uso por parte de los operadores de la **W3LL Store**, un mercado clandestino que servía a aproximadamente 500 actores de amenazas. Este mercado les permitía comprar acceso al kit de phishing **W3LL** Panel y otras herramientas de ciberdelincuencia para ataques de compromiso de correo electrónico empresarial (BEC). **W3LL** fue descrito como una plataforma de phishing todo en uno que ofrecía herramientas personalizadas, listas de correo y acceso a servidores comprometidos. Se cree que el actor de amenazas detrás de este servicio ha estado activo desde 2017, habiendo desarrollado previamente herramientas de spam masivo por correo electrónico como PunnySender y **W3LL** Sender. Según el **FBI**, la **W3LL Store** también facilitó la venta de credenciales robadas y acceso no autorizado a sistemas, incluidas conexiones de escritorio remoto. Se estima que más de 25,000 cuentas comprometidas se vendieron en la tienda entre 2019 y 2023. ### Detalles Técnicos y Persistencia **Hunt.io** señaló en un informe de marzo de 2024 que **W3LL** se dirigía principalmente a credenciales de **Microsoft 365**, utilizando técnicas de adversario en el medio (AitM) para secuestrar cookies de sesión y eludir la autenticación multifactor. La empresa de seguridad francesa **Sekoia**, en su análisis del kit de phishing **Sneaky 2FA**, reveló que la herramienta reutilizaba código del sindicato **W3LL Store**. Versiones pirateadas de **W3LL** también han circulado en los últimos años. A pesar del cierre de la **W3LL Store** en 2023, la operación continuó a través de plataformas de mensajería cifrada, donde la herramienta fue renombrada y comercializada activamente. Solo de 2023 a 2024, el kit de phishing se dirigió a más de 17,000 víctimas en todo el mundo. El **FBI** enfatizó que "El desarrollador detrás de la herramienta recopiló y revendió el acceso a cuentas comprometidas, amplificando el alcance y el impacto del esquema".