El nuevo servicio de phishing VoidProxy elude la MFA en las cuentas de Microsoft y Google
Okta Threat Intelligence expone VoidProxy, una nueva plataforma PhaaS. Descubra cómo este servicio avanzado utiliza la técnica Adversario en el Intermedio para evadir la MFA y cómo protegerse de ataques dirigidos a cuentas de Microsoft y Google.
Un nuevo servicio de fraude en línea, llamado VoidProxy, ha sido expuesto por investigadores de ciberseguridad de Okta Threat Intelligence. En un informe detallado, fechado el 11 de septiembre de 2025 y compartido con Hackread.com, el equipo reveló que VoidProxy es un servicio de phishing ( Phaas ), una plataforma que proporciona todas las herramientas necesarias para lanzar ciberataques.
La plataforma permite a los atacantes eludir el método común de autenticación multifactor ( MFA ), un sistema de seguridad que requiere un código además de una contraseña para verificar la identidad. El servicio utiliza una técnica llamada Adversario en el Medio ( AitM ) para interceptar contraseñas, códigos MFA y otra información en tiempo real.
La investigación de Okta reveló que un ataque suele comenzar con un correo electrónico engañoso enviado desde una cuenta comprometida de un proveedor de servicios de correo electrónico (ESP) legítimo, como Constant Contact, Active Campaign o NotifyVisitors, lo que le permite evadir los filtros de spam . Cuando un usuario hace clic en el enlace, se le redirige a un sitio web que es una copia exacta de una página de inicio de sesión legítima de servicios como Microsoft o Google.
Una vez que la víctima introduce sus datos de acceso y códigos MFA, el sistema VoidProxy los intercepta. La plataforma se apropia de la sesión del usuario y roba una cookie de sesión crucial. Cabe destacar que esta cookie permite mantener la sesión iniciada en la cuenta. Una vez que los atacantes obtienen una copia, pueden eludir todos los controles de seguridad y acceder a la cuenta como si fueran el usuario legítimo.
Los investigadores descubrieron que VoidProxy se basa en una ingeniosa infraestructura de dos partes, diseñada para evadir la detección. Utiliza un front-end desechable y un back-end resistente, lo que permite a los delincuentes abandonar rápidamente las partes descubiertas mientras su sistema principal sigue en funcionamiento.
La plataforma también utiliza múltiples capas de funciones antianálisis, incluyendo cuentas de correo electrónico comprometidas, redirecciones y comprobaciones de seguridad como el CAPTCHA de Cloudflare , para dificultar el rastreo a los equipos de seguridad, lo que la ha mantenido oculta hasta ahora. Esta configuración avanzada, con su panel de administración que permite a los delincuentes recibir información robada en tiempo real, a menudo a través de Telegram u otros servicios en línea, demuestra lo automatizada que está la operación.
La plataforma fue finalmente descubierta cuando no logró comprometer a un usuario protegido por el autenticador resistente a phishing de Okta, Okta FastPass, que proporcionó a los investigadores una clave para desentrañar todo el esquema.
“La mejor manera de proteger a sus usuarios contra amenazas como VoidProxy es registrarse en autenticadores resistentes al phishing”, aconsejó Brett Winterford , vicepresidente de Inteligencia de Amenazas de Okta. Explicó que estos autenticadores especiales impiden que los atacantes roben credenciales, lo que constituye la defensa más eficaz contra estas amenazas avanzadas.
HackRead
