Hace unos años, lanzar una campaña de phishing requería habilidad técnica real. Había que clonar un sitio web, montar hosting, configurar la entrega de correo y evitar detecciones, todo de forma manual. Hoy puedes comprar un phishing kit completo, listo para desplegar, por muy poco dinero y tenerlo activo en muy poco tiempo. Ese cambio lo ha alterado todo.
¿Qué es un phishing kit?
Un phishing kit es un paquete de archivos (HTML, CSS, JavaScript, PHP) que replica la página de login o el flujo de checkout de un sitio legítimo. El atacante lo despliega en un dominio comprometido o recién registrado, envía señuelos (email, SMS, redes sociales) y espera a que las víctimas introduzcan sus credenciales.
Las credenciales se capturan en tiempo real y se reenvían al atacante por email, bot de Telegram o un panel web. Algunos kits incluso “relayan” las credenciales hacia el sitio real a la vez, de forma que la víctima inicia sesión con normalidad y no sospecha que ha ocurrido nada.
El phishing kit es la infraestructura. La campaña de phishing es el mecanismo de entrega (emails, SMS, anuncios). Los kits son reutilizables: el mismo kit puede desplegarse decenas de veces en dominios distintos.
Anatomía de un kit
La mayoría de kits modernos comparten una estructura común. Entenderla explica por qué son tan efectivos y por qué los métodos tradicionales de detección se quedan cortos.
1. La capa de clonación
La parte visible del kit es una copia “pixel perfect” de la página de login de la marca objetivo. Los atacantes usan herramientas automáticas para extraer el HTML, CSS e imágenes del sitio original. Algunos kits incluso cargan assets directamente desde el CDN legítimo, por lo que la página se ve idéntica y supera una inspección visual básica.
2. La capa de captura
Detrás del clon hay un script PHP que intercepta los envíos del formulario. Cuando la víctima introduce usuario y contraseña, el script registra los datos (incluyendo IP, huella del navegador, timestamp y geolocalización) antes de, opcionalmente, redirigir a la víctima al sitio real.
3. La capa de entrega
Las credenciales capturadas se envían al atacante por uno o varios canales: una dirección de email dedicada, un bot de Telegram (cada vez más común) o un panel de administración web incluido en el kit. Los kits “premium” ofrecen notificaciones en tiempo real y paneles para trackear víctimas.
Cómo evaden la detección
Aquí es donde los kits modernos se han vuelto realmente sofisticados. La evasión ya no es un extra: es una funcionalidad central.
Filtros anti-bot y anti-crawler
Muchos kits incluyen listas de bloqueo de IP que apuntan a rangos conocidos de escáneres de seguridad, IPs de cloud (AWS, Google, Azure) y salidas de VPN. Cuando la petición llega desde una IP bloqueada, el kit sirve un 404 o redirige al sitio legítimo, haciendo que el escaneo automatizado sea poco eficaz.
Geofencing
Los kits pueden configurarse para servir la página de phishing solo a visitantes de países concretos. Una campaña dirigida a clientes de un banco español, por ejemplo, puede activarse solo para peticiones desde España, bloqueando por completo a investigadores internacionales.
Despliegue de duración limitada
Muchas campañas duran solo horas o unos pocos días antes de abandonar el dominio. Ese margen suele ser más corto que el tiempo que tarda en propagarse una detección basada en listas de bloqueo tradicionales.
HTTPS y dominios que “parecen legítimos”
Los certificados TLS gratuitos (Let’s Encrypt) hacen que las páginas de phishing muestren el candado. Combinado con dominios lookalike (homoglifos, guiones o TLDs distintos), la víctima tiene menos señales visuales para detectar el fraude.
Un porcentaje significativo de usuarios todavía asocia el candado HTTPS con un sitio “seguro” o “legítimo”. Los phishing kits lo explotan directamente: casi todos los kits modernos despliegan certificados TLS válidos.
El mercado del phishing como servicio
Los phishing kits ya no son herramientas de “usar y tirar”: son productos con versiones, canales de soporte y reseñas. El mercado ha madurado hacia lo que investigadores llaman Phishing-as-a-Service (PhaaS).
Las plataformas PhaaS proporcionan todo lo necesario: plantillas para cientos de marcas, infraestructura de hosting, entrega de correo, redes proxy para evitar detección e incluso soporte al “cliente”. La barrera de entrada ahora es financiera, no técnica.
Algunas de las plataformas PhaaS más observadas en los últimos años han ofrecido kits dirigidos a grandes bancos, logística, telecomunicaciones y e-commerce en Europa y Latinoamérica, regiones donde operan los clientes de Notmining.
"La comoditización de la infraestructura de phishing implica que cualquier marca con visibilidad online es un objetivo potencial, independientemente de su tamaño o sector."— Notmining Research Team
Qué significa esto para tu marca
La implicación práctica es clara: si tu marca tiene una página de login reconocible, un flujo de checkout o un portal de clientes, probablemente ya exista un kit que la suplante o pueda crearse en cuestión de horas.
El daño de una campaña de phishing que usa la identidad de tu marca es multidimensional:
- Daño directo al cliente: las víctimas pierden credenciales, dinero o datos personales creyendo que interactúan contigo.
- Daño reputacional: el cliente asocia la mala experiencia a tu marca, no al atacante.
- Carga de soporte: tu equipo gestiona el impacto (recuperación de cuentas, reclamaciones de fraude, notificaciones regulatorias).
- Exposición regulatoria: según jurisdicción, puede haber obligaciones de notificación incluso si el incidente ocurrió en infraestructura fuera de tu control.
La ventana entre que el kit se activa y causa daño significativo se mide en horas, no en días. La velocidad de detección lo es todo.
Cómo los detecta Notmining
La detección tradicional depende de reportes de usuarios y actualizaciones de blocklists; ambos llegan tarde. Notmining utiliza un enfoque distinto: monitorización continua de señales que preceden y acompañan el despliegue del kit.
Monitorización de registros de dominios
Monitorizamos dominios recién registrados en tiempo real y marcamos los que son visual o fonéticamente similares a tu marca. Muchos dominios de phishing se registran poco antes del lanzamiento: detectarlos en el registro te da tiempo para actuar antes de que llegue a víctimas.
Fingerprinting de contenido
Cuando un dominio sospechoso se activa, analizamos su contenido para detectar similitud estructural y visual con tus páginas. Esto captura kits que cargan assets desde tu CDN o replican exactamente la estructura.
Correlación de infraestructura
Las campañas de phishing suelen reutilizar infraestructura (hosting, nameservers, patrones de certificados SSL). Correlacionando estas señales entre campañas se detectan nuevos despliegues más rápido, incluso cuando el dominio en sí es nuevo.
En un caso reciente, Notmining Platform detectó múltiples dominios lookalike dirigidos a un banco regional poco después del registro, antes de que se enviaran emails de phishing. Leer el caso completo →
Puntos clave
- Los phishing kits han convertido un ataque técnico en una commodity: cualquier marca es un objetivo viable.
- Los kits modernos evaden activamente escáneres, blocklists y revisión manual con filtros anti-bot, geofencing y despliegues cortos.
- El mercado PhaaS implica que los kits se mantienen, actualizan y soportan como software comercial.
- La detección debe ocurrir a nivel de registro de dominio e infraestructura, no después de reportes de víctimas.
- La monitorización continua es la única defensa fiable frente a phishing basado en kits a escala.