¿Qué es Starkiller y por qué es diferente a los ataques de phishing habituales?
El phishing tradicional lleva décadas funcionando con la misma mecánica: una página falsa recoge tus credenciales y las almacena para que los atacantes las usen más tarde. Sin embargo, este modelo tiene un talón de Aquiles: si tienes activado el doble factor de autenticación (2FA), el código de un solo uso caduca en cuestión de segundos, por lo que aunque el atacante robe tu contraseña no puede acceder a tu cuenta sin ese segundo factor.
Starkiller resuelve ese problema de raíz. Se trata de un kit de phishing comercial de nueva generación, vendido como servicio en la web oscura por el grupo conocido como Jinkusu, que opera como un proxy inverso en tiempo real entre la víctima y el sitio web legítimo. Esto significa que cuando introduces tus datos en una página falsa generada por Starkiller, el sistema los reenvía de forma instantánea al sitio real, recibe la respuesta del servidor auténtico y te la muestra a ti. Tú crees estar en la página oficial; en realidad, todos tus datos pasan por los servidores del atacante.
Cómo funciona el ataque paso a paso
La arquitectura de Starkiller es técnicamente sofisticada, pero su resultado es devastadoramente simple para la víctima:
- El atacante configura una campaña a través del panel de control de Starkiller, eligiendo qué servicio quiere suplantar: Google, Microsoft, Apple, Amazon, PayPal o cualquier banco de los que tiene plantillas disponibles.
- Se envía el enlace malicioso a las víctimas mediante correo electrónico, SMS o mensajería instantánea. La URL puede parecer legítima gracias al uso de dominios similares o acortadores de enlaces.
- La víctima accede a la página, que carga en tiempo real el contenido auténtico del servicio suplantado a través de un contenedor Docker con Chrome sin cabeza (headless). La apariencia es perfecta porque es la página real, solo que filtrada.
- Cada tecla pulsada —usuario, contraseña, código 2FA— es capturada por el keylogger integrado y enviada al atacante mediante un bot de Telegram que genera una alerta instantánea.
- El atacante recibe la notificación en cuestión de segundos y usa las credenciales robadas para iniciar sesión en el servicio real antes de que el código 2FA expire.
- Las cookies de sesión también son robadas, lo que permite al atacante mantener acceso incluso después de que la víctima cambie su contraseña.
¿Por qué es tan difícil de detectar y bloquear?
Los sistemas de seguridad convencionales se basan en listas de firmas: dominios maliciosos conocidos, patrones de HTML fraudulentos o certificados sospechosos. Starkiller elude estas defensas por su propio diseño:
- Nunca usa plantillas estáticas. Al cargar la página real en tiempo real mediante proxy, no existe ninguna firma de HTML falso que los sistemas puedan detectar.
- El contenido cambia dinámicamente. Si Google actualiza su página de inicio de sesión, Starkiller la actualiza automáticamente porque simplemente la está pasando a través de sí mismo.
- Los dominios maliciosos rotan. El grupo Jinkusu registra y abandona dominios con frecuencia, dificultando que las listas negras puedan mantenerse al día.
- Incluye geolocalización de víctimas. El sistema puede filtrar accesos por país, permitiendo a los atacantes centrarse solo en las regiones que les interesan y evitar accesos de investigadores de seguridad.
¿A quién afecta y qué servicios suplanta?
Starkiller cuenta con plantillas preconfiguradas para los servicios más utilizados a nivel mundial, con especial atención al mercado europeo:
- Cuentas de Google (Gmail, Google Workspace)
- Cuentas de Microsoft (Outlook, Microsoft 365, Azure)
- ID de Apple
- Amazon y Amazon Business
- PayPal
- Varios bancos europeos, incluyendo entidades activas en España
Cualquier usuario con una cuenta en alguno de estos servicios es un objetivo potencial, independientemente de si tiene activado el 2FA.
Cómo protegerte frente a Starkiller y ataques similares
Dado que Starkiller derrota el 2FA basado en códigos de un solo uso (TOTP y SMS), las medidas de protección habituales son insuficientes. Estas son las alternativas más eficaces:
- Usa llaves de seguridad físicas (passkeys o FIDO2/WebAuthn). A diferencia de los códigos TOTP, las llaves físicas como YubiKey o Google Titan están vinculadas al dominio legítimo del servicio. Si estás en una página falsa, la llave no funcionará, bloqueando el ataque automáticamente.
- Activa las passkeys en todos los servicios que las soporten. Google, Microsoft, Apple y muchos bancos ya ofrecen esta opción. Las passkeys son inmunes al phishing por diseño.
- Examina siempre la barra de direcciones antes de introducir cualquier credencial. Comprueba que el dominio es exactamente el oficial (google.com, microsoft.com, apple.com…) y no una variante similar.
- Desconfía de cualquier enlace recibido por correo o SMS que te pida iniciar sesión, aunque el remitente parezca legítimo. Ve siempre directamente al sitio oficial escribiendo la dirección a mano o usando marcadores guardados.
- Usa un gestor de contraseñas. Los gestores comprueban el dominio antes de rellenar las credenciales automáticamente; si la página es falsa, no rellenan nada.
- Activa las alertas de inicio de sesión en tus cuentas más importantes para recibir notificaciones inmediatas de accesos no reconocidos.
Desde Infoexpo insistimos en que la activación del 2FA sigue siendo mucho mejor que no tener ninguna protección adicional. Sin embargo, Starkiller nos recuerda que la capa más sólida de defensa son las passkeys y llaves de seguridad físicas, que sí son capaces de detener este tipo de ataques. Si aún no las tienes configuradas en tus cuentas críticas, este es el momento de hacerlo.