El FBI y Indonesia desmantelan conjuntamente la red de phishing de W3LL, con un importe involucrado de más de 20 millones de dólares

El FBI (Buró Federal de Investigaciones) y la Policía Nacional de Indonesia anunciaron conjuntamente el 14 de abril que lograron desmantelar con éxito la infraestructura de la red de phishing W3LL. Se incautó el equipo técnico clave que guarda relación directa con estafas por más de 20 millones de dólares y se detuvo a GL, el supuesto desarrollador. Esta operación contó con apoyo judicial proporcionado por la Oficina del Fiscal de los Estados Unidos para el Distrito Norte de Georgia, y es la primera acción conjunta de las autoridades de ambos países contra una plataforma de piratas informáticos.

Mecanismo de funcionamiento de la red de phishing W3LL: herramientas delictivas desde 500 dólares

El núcleo del diseño del kit de phishing W3LL consiste en crear páginas de inicio de sesión falsas casi indistinguibles, induciendo a las víctimas a introducir de forma voluntaria sus credenciales. Los atacantes pueden comprar derechos de uso de la herramienta a un costo bajo de aproximadamente 500 dólares en el mercado subterráneo W3LLSTORE, lo que permite una rápida expansión dentro del círculo delictivo. Se estima que alrededor de 500 actores de amenazas han estado activos usando la herramienta, formando un ecosistema de ciberdelincuencia altamente organizado.

Sin embargo, la función más destructiva de la red de phishing W3LL es la tecnología de ataque de intermediario (AiTM). Los atacantes pueden interceptar en tiempo real la sesión de inicio de sesión de la víctima y, en el mismo instante en que el usuario introduce el nombre de usuario y la contraseña, sincronizar el robo de los tokens de verificación de identidad. Esto significa que incluso si la cuenta tiene protección de verificación multifactor (MFA) habilitada, el atacante puede secuestrar la sesión ya verificada en el momento en que se completa la verificación, haciendo que la protección de MFA sea prácticamente inútil.

Escala del delito y trayectoria de evolución

La historia delictiva de la red de phishing W3LL abarca varios años y muestra una ruta de evolución clara contra la aplicación de la ley:

2019–2023: El mercado subterráneo W3LLSTORE estuvo activo, lo que impulsó la circulación de más de 25,000 transacciones de credenciales robadas

Después del cierre del mercado: Los operadores se trasladaron a aplicaciones de comunicación cifrada, continuando la distribución de herramientas reempaquetadas para evadir el seguimiento de las autoridades

2023–2024: Los kits causaron más de 17,000 víctimas en todo el mundo

14 de abril de 2026: La acción conjunta entre EE. UU. e Indonesia logró incautar la infraestructura; el desarrollador GL fue detenido

Todo el ecosistema delictivo está altamente organizado, desde el desarrollo de herramientas, la venta en el mercado hasta la ejecución real de los ataques, formando una cadena completa de suministro de ciberdelincuencia.

Cooperación de seguridad entre EE. UU. e Indonesia: un nuevo campo de lucha conjunta contra el delito en línea

El momento de esta acción conjunta de incautación tiene un significado diplomático. El 13 de abril, Estados Unidos e Indonesia anunciaron oficialmente el establecimiento de una relación de socios principales en materia de defensa; el marco abarca la modernización militar en la región de Indo-Pacífico, educación profesional y ejercicios conjuntos. La incautación de la red de phishing W3LL indica que la cooperación bilateral en materia de seguridad se ha extendido formalmente al ámbito de la aplicación de la ley contra el delito cibernético.

Cabe destacar especialmente que la amenaza del phishing dirigido a tenedores de criptomonedas sigue intensificándose. En enero de 2026, solo en un mes, las pérdidas sufridas por inversionistas en criptomonedas debido a ataques de phishing superaron los 300 millones de dólares, lo que muestra que, incluso si esta operación contra la red de phishing W3LL logra resultados, el entorno general de amenazas aún no es alentador.

Preguntas frecuentes

¿Por qué el kit de phishing W3LL puede circular ampliamente en la comunidad del delito en línea?

La rápida expansión del kit W3LL se debe a dos factores principales: el costo extremadamente bajo de entrada de 500 dólares y la capacidad, poco común, de eludir la verificación multifactor de otras herramientas. La combinación de una barrera baja con un alto rendimiento lo convierte en la herramienta de ataque preferida para grupos organizados de ciberdelincuencia y crea una cadena de suministro de ventas estable en el mercado subterráneo.

¿Cómo se elude la verificación multifactor (MFA) con el kit W3LL?

El kit W3LL emplea la tecnología de ataque de intermediario (AiTM). En el instante en que la víctima completa la verificación de la MFA, el atacante secuestra de manera inmediata la sesión de inicio de sesión verificada y los tokens de verificación de identidad, permitiendo que el atacante inicie sesión en la cuenta objetivo como si fuera la víctima, sin necesidad de conocer el segundo factor, lo que hace que los mecanismos tradicionales de protección de MFA fallen.

¿Cómo pueden los usuarios de criptomonedas protegerse de manera efectiva contra este tipo de ataques de phishing avanzado?

Las medidas de defensa clave incluyen: usar llaves de seguridad de hardware (como YubiKey) para sustituir SMS o OTP de aplicaciones como método de verificación multifactor; lo anterior puede resistir eficazmente los ataques AiTM; verificar cuidadosamente la autenticidad del dominio antes de acceder a cualquier plataforma; y evitar hacer clic en enlaces de inicio de sesión en correos electrónicos o mensajes de origen desconocido.