El FBI anunció el lunes 13 de abril (con las primeras operaciones el 10 de abril) el desmantelamiento de W3LL, una operación global de phishing que vendía su kit a ciberdelincuentes por 500 dólares y con la que se intentaron fraudes por más de 20 millones de dólares. La operación, liderada por la oficina del FBI en Atlanta en cooperación con la Policía Nacional de Indonesia, incluyó la detención del presunto desarrollador (identificado solo como G.L.) y la incautación del dominio w3ll.store y otros asociados. Es la primera acción coordinada entre EE.UU. e Indonesia contra un desarrollador de phishing kits.El kit W3LL permitía a ciberdelincuentes con pocos conocimientos técnicos desplegar páginas falsas que imitaban portales legítimos (Microsoft 365, Google, bancos, etc.). Cuando la víctima introducía sus credenciales, el kit capturaba no solo usuario y contraseña, sino también datos de sesión, lo que permitía saltarse la autenticación multifactor y mantener acceso a las cuentas. Entre 2023 y 2024, se usó contra más de 17.000 víctimas en todo el mundo. Su marketplace online (W3LL Store) operó entre 2019 y 2023 y facilitó la venta de más de 25.000 cuentas comprometidas antes de cerrar. Después de eso, la operación continuó a través de apps de mensajería cifrada.«Esto no era solo phishing, era una plataforma integral de ciberdelito», declaró Marlo Graham, Agente Especial al Mando del FBI en Atlanta. La capacidad de saltarse la autenticación multifactor es lo que convertía a W3LL en especialmente peligroso: muchos usuarios creen que con el 2FA activado están protegidos, pero el kit capturaba las cookies de sesión, que actúan como «pase libre» después del login. Es el mismo vector que explica por qué los ataques de phishing crecieron un 900% en 2024 según Booking.com, y por qué el phishing sigue siendo el origen de la mayoría de las brechas empresariales.Mi valoración: el desmantelamiento de W3LL es una victoria, pero hay que leerla con perspectiva. Los kits de phishing son software que se copia, se bifurca y se redistribuye. W3LL tenía años activo y operando a través de mensajería cifrada después del cierre de su marketplace; otros kits similares (como EvilProxy, Tycoon2FA, Greatness) siguen activos. La captura del desarrollador interrumpe esa operación concreta, pero no el modelo de negocio. La pregunta real es por qué sigue siendo tan fácil: la respuesta es que la mayoría de servicios online siguen apoyándose en contraseña + 2FA por SMS o código, modelos que los atacantes ya saben cómo saltar. Las passkeys (claves de acceso criptográficas ligadas al dispositivo) son la solución técnica real, y llevan años disponibles. Pero la adopción es lenta, y cada mes que pasa, operaciones como W3LL recaudan millones. Este tipo de estafas dirigidas basadas en datos reales son, en la práctica, el producto final de brechas como la de Booking.com.Preguntas frecuentes¿Qué es W3LL? Un kit de phishing vendido por unos 500 dólares que permitía a ciberdelincuentes crear páginas de login falsas y robar credenciales, incluyendo datos de sesión para saltarse la autenticación multifactor. ¿A cuántas víctimas afectó? Más de 17.000 víctimas en todo el mundo solo entre 2023 y 2024. Su marketplace facilitó la venta de más de 25.000 cuentas comprometidas entre 2019 y 2023. ¿Cómo se defienden los usuarios? Usar claves de acceso (passkeys) cuando estén disponibles en lugar de contraseñas, verificar siempre las URLs antes de introducir credenciales, y desconfiar de enlaces en correos aunque parezcan legítimos.La noticia El FBI desmantela W3LL, la plataforma de phishing que atacó a 17.000 víctimas en todo el mundo e intentó defraudar más de 20 millones de dólares fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.