Las agencias de aplicación de la ley han logrado interrumpir la plataforma de phishing **W3LL**, una herramienta que permitía a los cibercriminales crear sitios web falsos realistas para la recolección de credenciales. ### Cooperación Internacional Conduce al Desmantelamiento La oficina de Atlanta del **FBI** anunció la incautación de la infraestructura que soporta el servicio de phishing. Simultáneamente, la Policía Nacional de Indonesia arrestó al individuo que se cree es el desarrollador de la plataforma, identificado solo como G.L., y confiscó dominios cruciales asociados con **W3LL**. "Esto no fue solo phishing, fue una plataforma de ciberdelincuencia de servicio completo", declaró Marlo Graham, agente especial a cargo del **FBI** Atlanta, destacando la naturaleza integral de la amenaza. ### Modus Operandi de W3LL La plataforma **W3LL** permitía a los atacantes engañar a las víctimas para que ingresaran sus credenciales en portales de inicio de sesión falsificados. Estas credenciales robadas se utilizaban luego para eludir la autenticación multifactor (MFA), otorgando a los cibercriminales acceso persistente a las cuentas comprometidas. El **FBI** reveló que el kit de phishing era compatible con un mercado en línea llamado **W3LLSTORE**, que comerciaba con detalles de inicio de sesión comprometidos y credenciales de escritorio remoto. ### Escala de la Operación Entre 2019 y 2023, **W3LLSTORE** supuestamente anunció más de 25,000 cuentas comprometidas a la venta, facilitando el robo de credenciales y permitiendo intentos de fraude que superan los $20 millones. Investigadores de **Group IB** informaron que la plataforma atendía a una comunidad cerrada de al menos 500 actores de amenazas, ofreciendo un kit de phishing personalizado llamado **W3LL Panel** diseñado para eludir la MFA, junto con otras 16 herramientas para ataques de compromiso de correo electrónico empresarial (BEC). Según **Group-IB**, las herramientas de phishing de **W3LL** se dirigieron a más de 56,000 cuentas corporativas de **Microsoft 365** en EE. UU., Reino Unido, Australia y Europa entre octubre de 2022 y julio de 2023. Los investigadores estiman que las ganancias de **W3LL** probablemente alcanzaron medio millón de dólares en los últimos 10 meses de operación. ### Persistencia y Evolución A pesar del cierre de **W3LLSTORE** en 2023, la plataforma continuó operando a través de servicios de mensajería cifrada. Los cibercriminales siguieron comercializando la herramienta, que se utilizó en ataques dirigidos a 17,000 víctimas a nivel mundial entre 2023 y 2024. ### Auge del Fraude Habilitado por Ciberataques El **FBI** informó recientemente de un aumento en el fraude habilitado por ciberataques, que representó la mayoría de las pérdidas reportadas a su Centro de Denuncias de Delitos en Internet (**IC3**) en 2025, con un asombroso robo de $17.6 mil millones. Este desmantelamiento sigue a las acciones recientes del **FBI** contra otras plataformas de ciberdelincuencia, incluidas **Leakbase** y el mercado ruso **RAMP**. En diciembre, el **FBI** también colaboró con la policía nigeriana para arrestar a un desarrollador detrás del kit de phishing **RaccoonO365**, que, de manera similar a **W3LLSTORE**, se utilizó para crear portales de inicio de sesión falsos de **Microsoft** para la recolección de credenciales.