ciberseguridad ciberataques Seguridad informática phishing Starkiller autenticación multifactor MFA phishing-as-a-service Abnormal AI

Los ataques de phishing suelen basarse en copias estáticas de páginas de inicio de sesión de servicios populares, que son rápidamente detectadas y bloqueadas por equipos de seguridad. Sin embargo, un nuevo servicio llamado Starkiller, identificado por la firma de ciberseguridad Abnormal AI, está revolucionando este tipo de ciberamenazas al ofrecer una infraestructura automatizada que evade estas limitaciones.

Cómo funciona Starkiller: un proxy de inicio de sesión en tiempo real

Starkiller no solo redirige a las víctimas a páginas falsas, sino que carga la página real del servicio objetivo (como Apple, Google, Microsoft o Facebook) y actúa como intermediario entre el usuario y el sitio legítimo. De esta forma, captura cada dato introducido —incluyendo nombres de usuario, contraseñas y códigos de autenticación multifactor (MFA)— y los envía al atacante antes de reenviar la respuesta del sitio real.

Según el análisis de Abnormal AI, el servicio permite a los ciberdelincuentes seleccionar la marca a suplantar y generar URLs engañosas que imitan dominios legítimos. Por ejemplo, un enlace para víctimas de Microsoft podría aparecer como:

login.microsoft.com@[URL_maligna.acortada]

El truco del símbolo @ en la URL es clave: todo lo que precede al símbolo se interpreta como datos de usuario, mientras que lo que sigue es la página real a la que se accede. Así, la víctima cree estar en un sitio seguro, pero en realidad está interactuando con un proxy controlado por el atacante.

Tecnología detrás del ataque: Docker y Chrome headless

Una vez que el cliente de Starkiller selecciona el objetivo, el servicio despliega un contenedor Docker con una instancia de Chrome sin interfaz gráfica que carga la página real de inicio de sesión. Los investigadores de Abnormal AI, Callie Baron y Piotr Wojtyla, explican en su informe:

«El contenedor actúa como un proxy inverso man-in-the-middle, reenviando las entradas del usuario al sitio legítimo y devolviendo sus respuestas. Cada pulsación de tecla, envío de formulario y token de sesión pasa por la infraestructura controlada por el atacante y se registra en el proceso».

Capacidades avanzadas: desde keyloggers hasta alertas en Telegram

Starkiller no solo roba credenciales, sino que ofrece un panel de control completo con métricas similares a las de una plataforma SaaS legítima. Entre sus funciones destacan:

  • Captura de pulsaciones en tiempo real: Registra cada tecla pulsada por la víctima.
  • Robo de cookies y tokens de sesión: Permite el takeover inmediato de cuentas sin necesidad de contraseñas.
  • Geolocalización de víctimas: Rastrea la ubicación de los objetivos.
  • Alertas automáticas en Telegram: Notifica al atacante cuando se obtienen nuevas credenciales.
  • Analítica de campañas: Muestra métricas como visitas, tasas de conversión y gráficos de rendimiento.

Además, el servicio intercepta y reenvía los códigos MFA, ya que la víctima está autenticándose directamente en el sitio real a través del proxy. Esto significa que, incluso con autenticación de doble factor, los atacantes pueden acceder a las cuentas.

¿Por qué Starkiller es más peligroso que los kits de phishing tradicionales?

Los kits de phishing convencionales requieren conocimientos técnicos para configurar servidores, dominios, certificados y servicios de proxy. Starkiller, en cambio, automatiza todo el proceso, permitiendo que incluso ciberdelincuentes sin experiencia técnica puedan lanzar campañas sofisticadas con solo unos clics.

La combinación de páginas reales, captura de MFA y panel de control profesional convierte a Starkiller en una herramienta extremadamente peligrosa, capaz de evadir las defensas tradicionales y comprometer cuentas incluso en servicios con alta seguridad.

Recomendaciones de seguridad para empresas y usuarios

Ante esta amenaza, los expertos recomiendan:

  • Verificar siempre la URL: Desconfiar de enlaces con dominios sospechosos o símbolos como @.
  • Usar autenticación multifactor basada en apps (como Google Authenticator o Authy) en lugar de SMS, ya que estos últimos pueden ser interceptados.
  • Implementar soluciones de seguridad avanzadas, como firewalls de próxima generación, sistemas de detección de amenazas y formación en concienciación sobre phishing para empleados.
  • Monitorizar cuentas en busca de actividades sospechosas, especialmente en servicios críticos como correo electrónico o banca online.
Fuente: Krebs on Security
Dort, el cerebro detrás del botnet Kimwolf: de Minecraft a ataques masivos
Siguiente →

Dort, el cerebro detrás del botnet Kimwolf: de Minecraft a ataques mas...