El FBI desmanteló la red W3LL, un ecosistema de phishing kits que había causado el robo de credenciales a más de 17.000 víctimas y pérdidas superiores a 20 millones de dólares.
La operación reveló algo que los equipos de ciberseguridad ya conocían pero que pocas veces llega a los titulares: los phishing kits han convertido la ejecución de ataques de phishing sofisticados en una actividad accesible para cualquier persona con 25 dólares y una conexión a internet.
Un kit de phishing sencillo cuesta entre 10 y 25 dólares, se despliega en minutos sobre un servidor comprometido y puede capturar credenciales de miles de víctimas antes de que los sistemas de detección lo eliminen. Los kits más avanzados, con bypass de autenticación multifactor y generación de correos con IA, alcanzan varios cientos de dólares.
Esta guía explica qué son, cómo están construidos, qué tipos existen y cómo los equipos de ciberseguridad los detectan y analizan.
Qué es un phishing kit
Un phishing kit es el componente web y back-end de un ataque de phishing. Mientras el correo electrónico fraudulento es el anzuelo que lleva a la víctima hasta el sitio malicioso, el phishing kit es el sitio en sí: la infraestructura que captura las credenciales cuando la víctima las introduce.
Técnicamente, es un paquete de archivos que el atacante despliega en un servidor para replicar visualmente una web legítima: un banco, un servicio de email, una plataforma de comercio electrónico o cualquier organización con credenciales de valor.
La víctima llega a esa página, la ve idéntica a la real, introduce sus datos y el kit los envía automáticamente al atacante.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEl objetivo de los phishing kits es reducir la barrera técnica de entrada para ejecutar ataques de phishing a prácticamente cero.
Un atacante sin conocimientos de programación web puede descargar un kit, subirlo a un servidor comprometido y tener una campaña activa en minutos.
Para entender el ecosistema completo del que los phishing kits forman parte, el artículo sobre qué es el phishing explica cómo funciona un ataque completo desde el reconocimiento hasta la explotación, y el papel que estos kits juegan en cada fase.
Cómo está construido un phishing kit
La arquitectura de un phishing kit es relativamente sencilla: está construido con las mismas tecnologías que cualquier web legítima, porque su objetivo es ser indistinguible de ella a simple vista.
Componentes típicos
- Archivos HTML. Las páginas que el usuario ve en el navegador. Replican el diseño, los colores, la tipografía y los logotipos de la organización suplantada. En muchos casos se generan clonando el HTML real de la web legítima con herramientas automáticas.
- Scripts PHP. El back-end del kit. Reciben los datos del formulario (usuario y contraseña, datos bancarios, código de verificación), los almacenan en un archivo local o los envían por email al atacante. Los archivos más frecuentes son mailer.php, panel.php o log.php, nombres que los analistas de seguridad usan como firmas de detección.
- Archivos CSS y JavaScript. Los estilos y la interactividad de la página falsa. Incluyen validaciones de formulario, animaciones y comportamientos que hacen que la página parezca funcional y legítima.
- Imágenes y logotipos. Copiados directamente de la organización suplantada. La resolución y proporciones incorrectas son una señal de alerta cuando los logotipos se copian mal.
- Panel de control. La interfaz desde la que el atacante ve las credenciales capturadas en tiempo real: email o usuario, contraseña, IP de la víctima, fecha y hora. En kits avanzados incluye estadísticas de la campaña similares a las de GoPhish.
- Mecanismos de redireccionamiento. Después de capturar las credenciales, el kit redirige a la víctima a la web legítima para que no sospeche que algo ha ido mal. La víctima puede pensar que simplemente hubo un error de contraseña.
Técnicas de evasión incorporadas
Los kits más sofisticados incluyen mecanismos para dificultar su detección por parte de investigadores y sistemas de seguridad:
- Bloqueo de rangos de IP conocidos de empresas de seguridad y honeypots
- Detección de bots y crawlers para no servir el contenido malicioso a sistemas automatizados
- Cifrado del código fuente con técnicas de ofuscación
- Rotación automática de dominios para mantener la campaña activa cuando un dominio es bloqueado
Tipos de phishing kits
Kits estáticos
Son los más frecuentes y los más fáciles de desplegar. Consisten en una copia estática de la web legítima con el formulario de credenciales conectado a un script PHP que captura los datos. No se adaptan al usuario ni tienen interactividad avanzada.
Su simplicidad es también su debilidad: son los más fáciles de detectar porque sus archivos PHP tienen estructuras conocidas y sus páginas HTML son copias directas de webs legítimas que los sistemas de análisis identifican por similitud.
Kits dinámicos
Se adaptan en tiempo real al dispositivo y navegador de la víctima, muestran información personalizada según la IP de origen y pueden simular comportamientos específicos de la plataforma suplantada. Son más difíciles de detectar automáticamente porque el contenido que sirven varía según quién los consulta.
Kits AiTM (Adversary-in-the-Middle)
Son la variante más avanzada y la que más ha crecido durante el año actual y el anterior. En lugar de servir una copia estática, actúan como proxy entre la víctima y el servicio legítimo: la víctima se autentica realmente contra el servicio real, y el kit intercepta la cookie de sesión resultante.
Esto les permite eludir la autenticación multifactor convencional: aunque la víctima complete el segundo factor correctamente, el atacante captura la cookie de sesión activa y puede usarla para acceder a la cuenta sin necesidad de conocer las credenciales.
Es el método que ha hecho obsoleto el MFA basado en SMS y TOTP en entornos de alta exigencia de seguridad.
Detectado en agosto del año anterior, por investigadores de seguridad, el kit InboxPrime AI incorpora un generador de emails basado en IA capaz de crear correos de phishing personalizados, imitar comunicaciones empresariales legítimas y gestionar campañas completas desde una interfaz similar a las herramientas de email marketing comerciales.
Kits con IA generativa
Los más recientes : BlackForce, GhostFrame e InboxPrime AI. Incorporan modelos de lenguaje para generar mensajes de phishing sin errores gramaticales, personalizados en cualquier idioma y adaptados al tono de comunicación de la organización objetivo.
Eliminan la señal de alerta histórica más fiable: los errores tipográficos y el texto mal redactado. Para entender el alcance de esta amenaza, el artículo sobre phishing impulsado por IA analiza cómo los modelos de lenguaje están transformando estos kits.
| Tipo | Características | Precio orientativo | Capacidad de eludir MFA |
|---|---|---|---|
| Estático básico | Copia HTML + PHP capturador de credenciales | 10 – 25 $ | No |
| Dinámico avanzado | Adaptativo por IP/dispositivo, evasión de bots | 50 – 200 $ | Parcial |
| AiTM (proxy) | Proxy en tiempo real, captura cookie de sesión | 200 – 500 $ | Sí (SMS y TOTP) |
| Con IA generativa | Generación de emails, personalización masiva, gestión de campañas | 300 – 800 $ | Sí en variantes AiTM |
Cómo se distribuyen los phishing kits
Los phishing kits se venden y distribuyen a través de tres canales principales.
Los foros de la dark web y Telegram son el canal más activo. Los vendedores ofrecen kits con demos, capturas de pantalla del panel de control y soporte técnico. La transacción se realiza habitualmente en criptomonedas y algunos vendedores ofrecen servicio de actualización cuando el kit es detectado por los sistemas de seguridad.
Los directorios abiertos en servidores comprometidos son otra fuente frecuente. Cuando un atacante despliega un kit y no protege correctamente el directorio del servidor, otros atacantes pueden encontrar el kit comprimido y descargarlo de forma gratuita. Es un fenómeno documentado de «robo entre atacantes».
Los repositorios públicos y foros técnicos distribuyen versiones de kits de código abierto como Zphisher, que los investigadores de seguridad y los equipos Red Team usan para simulaciones, pero que también son accesibles para cualquier actor malicioso.
Vida media de un phishing kit activo
La mayoría de los phishing kits permanecen activos aproximadamente 36 horas antes de ser detectados y eliminados. Ese tiempo determina completamente la estrategia de despliegue del atacante: el objetivo es maximizar el número de víctimas en esa ventana antes de que los sistemas de detección actúen.
Para extender esa vida útil, los atacantes usan varias técnicas:
- Rotación de dominios. Cuando un dominio es bloqueado, el kit sigue activo en otro. Registrar varios dominios similares al objetivo es parte de la preparación del ataque. Herramientas como DNStwist permiten a los equipos defensivos detectar esos dominios antes de que se usen.
- Servidores comprometidos de terceros. En lugar de contratar infraestructura propia, usar servidores de empresas o particulares comprometidos hace más difícil atribuir el ataque y más lento el proceso de eliminación.
- Hosting bulletproof. Proveedores de hosting que ignoran deliberadamente las solicitudes de eliminación por abuso, especialmente en jurisdicciones con poca cooperación internacional en ciberseguridad.
Cómo detectan los equipos de seguridad un phishing kit
Lo que más sorprende a quien empieza a analizar phishing kits en un entorno profesional es la cantidad de artefactos que dejan. Los atacantes priorizan la velocidad de despliegue sobre la limpieza técnica, y eso crea firmas detectables que un analista con el conocimiento correcto puede identificar.
Análisis de código fuente
El HTML de la página sospechosa suele contener referencias a archivos PHP con nombres típicos de kits: mailer.php, admin.php, log.php, panel.php. La estructura del código y los comentarios en el HTML pueden revelar el kit específico que se está usando, incluyendo su versión.
Análisis de cabeceras HTTP
Las cabeceras de respuesta del servidor pueden revelar tecnologías y configuraciones que no coinciden con las del servicio legítimo que se suplanta. Un servidor Apache sirviendo lo que supuestamente es un sistema bancario que usa IIS es una señal de alerta inmediata.
Fuzzy hashing y comparación visual
La misma técnica que usa DNStwist con ssdeep se aplica en el análisis de phishing kits: comparar el contenido HTML del sitio sospechoso con el del sitio legítimo. Un porcentaje de similitud muy alto confirma que es una copia fraudulenta. También se usan herramientas de comparación visual de capturas de pantalla para detectar páginas que imitan visualmente una web legítima aunque el código fuente sea diferente.
Threat intelligence y feeds de IOC
Las organizaciones de threat intelligence mantienen bases de datos de indicadores de compromiso (IOC) que incluyen hashes de phishing kits conocidos, nombres de archivo típicos, dominios de distribución y firmas de código. Contrastar las muestras encontradas contra estos feeds permite identificar el kit, su familia y los otros ataques asociados.
Uso de GoPhish para simular y entender
Paradójicamente, una de las mejores formas de entender cómo funcionan los phishing kits es usar GoPhish para construir campañas de phishing simulado. Diseñar una landing page falsa desde cero con GoPhish y ver cómo captura las credenciales da una comprensión del mecanismo que ninguna descripción teórica proporciona. Es parte del entrenamiento estándar en equipos Red Team.
Para ver cómo estos kits se usan en ataques dirigidos contra personas concretas, el artículo sobre spear phishing explica cómo los atacantes combinan reconocimiento OSINT con phishing kits personalizados para construir ataques de alta efectividad.
Álvaro llevaba años en ciberseguridad perimetral en IBM cuando decidió que quería ver el campo completo antes de especializarse. Se movió a Alemania, hizo el Bootcamp de Ciberseguridad de KeepCoding y hoy trabaja en el Blue Team de Airbus Cybersecurity.
El análisis de phishing kits y campañas de ingeniería social es parte del trabajo cotidiano en ese tipo de equipos. Lo que más valoró del bootcamp fue precisamente eso: poder ver todos los ámbitos, tanto ofensivo como defensivo, para decidir con criterio dónde quería estar.
Cómo aprender a analizar phishing kits de forma profesional
El análisis de phishing kits es una disciplina que combina conocimientos de desarrollo web, análisis forense de código y threat intelligence. Un especialista que sabe leer un phishing kit puede extraer información valiosa sobre el atacante: qué herramientas usa, a qué organizaciones está apuntando, con qué infraestructura opera y qué otros ataques puede estar preparando.
Ese conocimiento es el que convierte a un analista de ciberseguridad reactivo en uno proactivo. No esperar a que el ataque llegue a las víctimas, sino detectar la infraestructura del atacante mientras la está construyendo.
Si quieres aprender a analizar y defenderte de phishing kits con metodología profesional y proyectos reales, el Ciberseguridad Full Stack Bootcamp de KeepCoding cubre el recorrido completo.
Conclusión
Los phishing kits son la infraestructura que hace posible el phishing a escala. Han reducido la barrera técnica para ejecutar ataques sofisticados hasta el punto de que cualquier actor con 25 dólares puede desplegar una página de phishing creíble en minutos.
La evolución hacia kits con bypass de MFA y generación de contenido con IA marca un cambio cualitativo: los marcadores históricos de detección del phishing, los errores tipográficos y las páginas mal replicadas, están desapareciendo de los ataques avanzados.
Para los equipos de seguridad, entender cómo están construidos estos kits, cómo se distribuyen y qué artefactos dejan es la base del trabajo de detección proactiva. Encontrar el kit antes de que llegue a las víctimas siempre es mejor que responder a un incidente después.
La referencia técnica más completa sobre phishing kits con análisis de muestras reales y técnicas de detección está disponible en el portal de threat intelligence de PhishTank, la base de datos colaborativa de phishing mantenida por la comunidad de ciberseguridad.
