Una operación liderada por INTERPOL el mes pasado interrumpió con éxito **Sniper Dz**, una sofisticada plataforma de phishing-as-a-service (PhaaS) que había estado operativa durante casi una década, según la firma de ciberseguridad **Group-IB**. ### Operación Ramz: Un Desmantelamiento Coordinado El esfuerzo coordinado, denominado **Operación Ramz**, se extendió de octubre de 2025 a febrero de 2026. Involucró a agencias de aplicación de la ley de 13 países de la región de Oriente Medio y África del Norte (MENA), lo que llevó a 201 arrestos significativos. Entre los detenidos se encontraba **Guedz**, identificado como el principal desarrollador y administrador de **Sniper Dz**. Su arresto fue llevado a cabo por la Policía Nacional argelina. Se cree que la plataforma, que también operaba bajo alias como **Joker Dz**, **Storm Dz** y **Spam Dz**, facilitó la recopilación de más de 45.000 registros de víctimas. Como parte de la Operación Ramz, se desactivó el sitio web utilizado por los ciberdelincuentes para acceder a las capacidades de PhaaS, y las autoridades incautaron hardware que contenía software y scripts de phishing críticos. ### Evolución de un Gigante PhaaS **Group-IB**, una empresa de ciberseguridad con sede en Singapur, señaló que **Sniper Dz** había estado activo desde al menos 2015. A lo largo de los años, evolucionó hasta convertirse en una plataforma criminal integral que ofrecía kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo a aspirantes a ciberdelincuentes. Los investigadores han identificado más de 20.000 dominios únicos asociados con el servicio PhaaS. El kit de herramientas se dirigía principalmente a usuarios de 30 organizaciones globales importantes, incluidas **PayPal**, **Facebook**, **Instagram**, **Yahoo**, **Netflix** y **Steam**. Utilizó 80 plantillas de phishing desplegadas en cinco idiomas, incluidos árabe, inglés, francés, español y hebreo. ### Más allá del Robo de Credenciales Las campañas de phishing que utilizaban **Sniper Dz** suplantaban marcas populares y entidades gubernamentales, empleando sitios web de imitación convincentes para recopilar credenciales, información personal y otros datos sensibles de los usuarios de tecnología, redes sociales y plataformas de streaming en diversas geografías. **Group-IB** destacó que la plataforma también empleaba técnicas avanzadas de ingeniería social. "Más allá del robo tradicional de credenciales, la plataforma también aprovechó técnicas de ingeniería social que explotaron la popularidad y credibilidad de figuras públicas en Oriente Medio y África del Norte", explicó la compañía. "Los actores de amenazas crearon cuentas falsas en redes sociales suplantando a personalidades políticas conocidas y las utilizaron para promocionar enlaces de phishing disfrazados de ofertas promocionales o acceso gratuito a Internet". ### El Modelo Gratuito y la Monetización **Palo Alto Networks Unit 42** realizó un análisis exhaustivo de **Sniper Dz** en octubre de 2024. Su informe detalló el uso del actor de amenazas de un canal de Telegram con más de 7.300 suscriptores para compartir videos tutoriales y destacó la oferta única de la plataforma de alojar páginas de phishing en su propia infraestructura detrás de un servidor proxy. Lo que distinguió a **Sniper Dz** en el abarrotado mercado de PhaaS fue su decisión de ofrecer toda su infraestructura de forma gratuita. Esto redujo significativamente la barrera de entrada para los ciberdelincuentes, permitiéndoles lanzar campañas de phishing a gran escala con facilidad. La estrategia de monetización de la plataforma se basaba en el robo de credenciales y el tráfico de víctimas. "Las credenciales robadas podían ser recopiladas a través de campañas de phishing, mientras que los usuarios que no proporcionaban credenciales aún podían ser redirigidos a fraudes de facturación de operadores, suscripciones premium de SMS, esquemas de abuso de notificaciones del navegador y otras campañas de estafa impulsadas por afiliados", elaboró **Group-IB**.