· Jonathan Izquierdo · Ciberseguridad ·
Ataques de suplantación mediante proxy (EvilProxy): peritaje de la nueva amenaza 2026
Cómo los atacantes saltan el Doble Factor de Autenticación (2FA) usando proxies inversos. Metodología forense para demostrar el robo de sesiones en empresas.
La crisis del Doble Factor de Autenticación
Durante años, le hemos dicho a las empresas que el Doble Factor de Autenticación (2FA/MFA) era la solución definitiva contra el robo de cuentas. En abril de 2026, esa promesa se ha roto debido a la sofisticación de los ataques de suplantación mediante proxy inverso, popularmente conocidos por herramientas como EvilProxy o Mamba 2FA [1].
Como perito informático forense, estoy viendo un repunte masivo de intrusiones en entornos de Microsoft 365 y Google Workspace donde el usuario juraría que “tenía el 2FA activado y nunca le llegó un aviso sospechoso”.
Anatomía técnica del ataque de Proxy Inverso
A diferencia del phishing tradicional, donde se copia una web estática, el ataque por proxy actúa como un “hombre en el medio” (Man-in-the-Middle) dinámico:
- El Cebo: El usuario recibe un enlace (vía email o QR) que parece dirigir a su portal de acceso corporativo.
- La Interceptación: Al hacer clic, el usuario entra en una web controlada por el atacante, pero que carga en tiempo real el contenido de la web real (ej: login.microsoftonline.com).
- El Robo del Token: El usuario introduce su usuario, su clave y su código de SMS o App. El proxy envía estos datos a la web real, recibe la cookie de sesión autorizada y se la guarda.
- Acceso Persistente: El atacante ya no necesita la contraseña. Usa la cookie para clonar la sesión en su propio navegador y acceder a todo el correo, archivos y contactos de la víctima [2].
Peligro para la Cadena de Suministro
Una vez dentro, el atacante no suele cambiar la contraseña. Se queda “escuchando” (Software de robo de credenciales) para realizar estafas de facturas falsas (suplantación de identidad corporativa) que peritamos frecuentemente.
Metodología Forense de Investigación de EvilProxy
Investigar estos incidentes requiere un análisis profundo de los logs de identidad en la nube (Azure AD Logs / Google Audit Logs):
1. Análisis de IPs y Geocalización
Buscamos el patrón de “viaje imposible”. Si una sesión se inicia en Madrid y un segundo después hay actividad desde un VPS en Singapur usando el mismo token de sesión, tenemos la prueba técnica de la interceptación.
2. Auditoría de User-Agents y Fingerprinting
El atacante suele usar navegadores automatizados o scripts. Comparar el “huella digital” del navegador habitual del empleado frente a la del atacante permite demostrar la suplantación ante un tribunal.
3. Trazabilidad del Enlace de Phishing
Analizamos los logs del proxy corporativo o del historial del navegador para localizar la URL exacta del proxy inverso. Estas URLs suelen usar dominios con caracteres especiales o extensiones inusuales (ej: .top, .live, .xyz) [3].
Lecciones Aprendidas: Hacia el FIDO2
La principal lección de 2026 es que los códigos por SMS o Apps de autenticación ya no son suficientes para entornos de alto riesgo. La única defensa técnica que resiste los ataques de proxy es el estándar FIDO2 (Passkeys o llaves físicas como YubiKey), que vincula la autenticación al dominio real, impidiendo que un proxy capture el token.
¿Han accedido a cuentas de su empresa con el 2FA activado?
Realizamos peritajes urgentes de intrusión cloud. Identificamos el rastro del atacante y certificamos el robo de sesión.
Solicitar Investigación de IntrusiónReferencias y fuentes
- [1] Microsoft Threat Intelligence (2026) - The rise of Adversary-in-the-Middle (AiTM) phishing as a service.
- [2] OWASP Foundation - Guide to preventing Automated Phishing and Session Hijacking.
- [3] CISA (Cybersecurity & Infrastructure Security Agency) - Alert on Phishing-Resistant MFA implementation.
- [4] ISO/IEC 27035 - Information security incident management: Guidelines for forensic investigation.
