Según explicó este miércoles Europol, que coordinó el operativo, la plataforma ofrecía a los atacantes una suscripción a un paquete de herramientas que les permitía interceptar sesiones de autentificación en tiempo real y evadir el sistema de verificación en dos pasos, para tomar control de cuentas digitales protegidas.
La operación permitió desmantelar 330 dominios que formaban “la infraestructura central” del servicio, incluidos sitios de 'phishing' y paneles de control utilizados por los operadores.
De acuerdo con Europol, la interrupción técnica de la plataforma fue liderada por la empresa tecnológica Microsoft con el apoyo de varias compañías privadas, mientras que la incautación de servidores y otras medidas operativas fueron ejecutadas por fuerzas de seguridad de Letonia, Lituania, Portugal, Polonia, España y el Reino Unido.
Las autoridades señalaron que Tycoon 2FA estaba activa al menos desde agosto de 2023 y se había convertido en una de las mayores operadoras de 'phishing' a escala global.
La plataforma permitía a miles de ciberdelincuentes acceder de forma encubierta a cuentas de correo electrónico y servicios en la nube, generando decenas de millones de correos fraudulentos cada mes.
Conforme a datos de Microsoft citados por Europol, a mediados del año pasado este servicio representaba en torno al 62 % de todos los intentos de 'phishing' detectados y bloqueados por la compañía.
Las investigaciones también indican que la actividad facilitada por esta plataforma permitió el acceso no autorizado a cerca de 100.000 organizaciones en todo el mundo, entre ellas escuelas, hospitales e instituciones públicas.
La operación se inició después de que la empresa de ciberseguridad Trend Micro compartiera información de inteligencia.
A través del Programa de Extensión de Inteligencia Cibernética de Europol (CIEP), varias compañías tecnológicas colaboraron con las autoridades policiales aportando análisis de infraestructura, datos técnicos y apoyo a la investigación.
Entre las empresas que participaron en la operación están Cloudflare, Coinbase, Intel471, Microsoft, Proofpoint, Shadowserver Foundation, SpyCloud y Trend Micro.
Europol precisó que este tipo de cooperación público-privada es clave para interrumpir infraestructuras criminales a gran escala y mejorar la respuesta internacional frente al ciberdelito.