Coinbase afirmó haber colaborado con Microsoft, Europol y otros socios de la industria para desarticular Tycoon 2FA, una plataforma de phishing como servicio utilizada por ciberdelincuentes para robar credenciales de inicio de sesión y eludir la autenticación multifactor [MFA].
La acción coordinada se dirigió a la infraestructura que impulsaba las operaciones de Tycoon, incluidos los dominios que albergaban los paneles de control y las páginas de phishing de la plataforma.
Según Coinbase, Microsoft presentó una acción civil que condujo a la incautación autorizada por un tribunal de dominios clave, dejando el servicio efectivamente fuera de línea.
El esfuerzo combinó acciones legales, desmantelamiento de infraestructura y análisis de blockchain para rastrear los flujos financieros que financiaban la red de phishing.
Plataforma de phishing diseñada para eludir MFA
Tycoon operaba como un kit de herramientas de phishing basado en suscripción, permitiendo a los atacantes lanzar campañas de recolección de credenciales utilizando páginas de inicio de sesión clonadas que imitan servicios confiables como Microsoft 365 y otras plataformas ampliamente utilizadas.
La plataforma permitía a los atacantes capturar nombres de usuario, contraseñas y códigos de autenticación en tiempo real. Más críticamente, permitía a los criminales robar cookies de sesión utilizadas para acceder a cuentas sin activar solicitudes MFA.
Los expertos en seguridad dicen que esa capacidad hace que las campañas de phishing sean significativamente más efectivas. Convierte el robo de credenciales en una puerta de entrada para ataques más amplios como la toma de control de cuentas, el compromiso de correo electrónico empresarial y el fraude de facturas.
Coinbase rastreó los pagos con criptomonedas que financiaban el servicio
El equipo de Inteligencia Global de Coinbase afirmó haber rastreado los pagos con criptomonedas utilizados para financiar las operaciones de Tycoon. Las plataformas de phishing como servicio a menudo operan como negocios de software ilícitos, con modelos de suscripción, revendedores y flujos de ingresos recurrentes.
El análisis de blockchain ayudó a los investigadores a identificar conexiones financieras entre los operadores de la plataforma y la infraestructura relacionada, según la compañía.
La investigación también ayudó a atribuir la administración de Tycoon a Saad Fridi, quien, según Coinbase, se cree que reside en Pakistán.
Los ataques de phishing siguen siendo una gran amenaza para las criptomonedas
La desarticulación se produce en medio de persistentes desafíos de seguridad en el sector de las criptomonedas.
Un informe reciente mostró que los hackeos relacionados con criptomonedas resultaron en pérdidas de 112,53 millones de dólares durante enero y febrero de 2026. Los incidentes se concentraron en un pequeño número de exploits importantes.
Más allá de las vulnerabilidades de los protocolos, la ingeniería social sigue siendo un motor importante de pérdidas. Esto destaca la escala de las campañas de robo de credenciales dirigidas a usuarios de criptomonedas y plataformas financieras.
Plataformas como Tycoon han contribuido a esa tendencia al industrializar las operaciones de phishing, permitiendo a los criminales ejecutar campañas mediante kits de herramientas listos para usar y servicios de suscripción.
Presión sobre la economía del phishing
Coinbase afirmó que desmantelar servicios como Tycoon requiere atacar tanto la infraestructura que impulsa las campañas de phishing como las redes financieras que los apoyan.
La compañía dijo que continuará trabajando con empresas tecnológicas y agencias de la ley para evitar que las criptomonedas se utilicen para financiar ciberdelitos.
Resumen Final
- Coinbase y Microsoft ayudaron a desmantelar Tycoon 2FA, una plataforma de phishing como servicio utilizada para robar credenciales y eludir las protecciones MFA.
- La desarticulación se produce mientras los ataques de phishing siguen siendo un motor importante de pérdidas en criptomonedas, con datos de seguridad que muestran cientos de millones robados mediante campañas de ingeniería social.
