Bluekit amplía capacidades con Browser-in-the-Middle

El kit de phishing como servicio (PhaaS) conocido como Bluekit ha dado un salto cualitativo en sus capacidades ofensivas al integrar la técnica Browser-in-the-Middle (BitM). A diferencia del phishing tradicional, que simplemente captura credenciales en un formulario falso, BitM permite que el atacante actúe como intermediario transparente entre la víctima y el sitio legítimo, interceptando no solo las contraseñas sino también las cookies de sesión ya autenticadas. Esto hace que los mecanismos convencionales de autenticación de dos factores (2FA) basados en contraseñas de un solo uso pierdan eficacia, ya que el atacante puede reutilizar la sesión activa sin necesidad de conocer el segundo factor.

Una infraestructura en expansión constante

Lo que resulta especialmente llamativo es la velocidad de crecimiento operativo de Bluekit: la investigación apunta a la identificación de casi 70 nuevos nombres de host en tan solo una semana, lo que indica una infraestructura activa y en rotación permanente. Esta cadencia de despliegue dificulta notablemente los bloqueos basados en listas de dominios estáticas, ya que los indicadores de compromiso (IoC) quedan obsoletos en cuestión de días.

BitM: cómo funciona la trampa invisible

En un ataque BitM, el kit sirve un navegador controlado por el atacante —o bien una sesión de proxy inverso— que renderiza el sitio auténtico en tiempo real ante los ojos de la víctima. El usuario cree estar interactuando directamente con su banco, correo corporativo o plataforma SaaS, mientras toda la comunicación pasa por el servidor del atacante. El resultado es la exfiltración silenciosa de credenciales y tokens de sesión sin que el portal de destino detecte nada anómalo.

Esta técnica no es nueva en el panorama del crimen digital —otros kits como Evilginx o Modlishka la popularizaron hace años—, pero su integración en una plataforma PhaaS accesible y gestionada supone una democratización del ataque que pone esta capacidad al alcance de actores con escasos conocimientos técnicos.

El riesgo para las organizaciones

Las empresas que confían en políticas de autenticación basadas exclusivamente en usuario, contraseña y OTP por SMS o app son las más expuestas. Los entornos que han desplegado llaves de acceso resistentes al phishing (passkeys) o certificados de dispositivo (como los estándares FIDO2/WebAuthn) ofrecen una capa de protección más robusta frente a este vector.

Dado que Bluekit apunta a robo de sesión post-autenticación, la monitorización de comportamientos anómalos en sesiones activas —accesos desde localizaciones inusuales, cambios de agente de usuario o patrones de acceso fuera de horario— cobra especial relevancia como segunda línea de defensa.


¿Estás cubierto en DefensOps?

Aunque Bluekit no tiene asignadas técnicas MITRE específicas en nuestro catálogo en este momento, DefensOps puede detectar actividad relacionada con el robo de sesión y el abuso de credenciales a través de su motor de correlación genérico, disponible desde el plan Essential.

Este motor analiza patrones de eventos en tiempo real —accesos sospechosos, reutilización de sesiones desde IPs no habituales y anomalías de comportamiento de usuario— que son los indicadores más fiables cuando se trata de ataques BitM, donde el indicador de compromiso basado en URL o dominio ya puede haber rotado.

Recomendaciones adicionales:
- Establece alertas sobre inicio de sesión desde múltiples geolocalizaciones en ventanas de tiempo reducidas.
- Implementa políticas de invalidación de sesión ante cambios de huella digital del cliente.
- Considera la adopción de autenticación resistente al phishing (FIDO2/passkeys) para accesos críticos.

👉 Descubre cómo proteger tu organización: consulta los planes de DefensOps y solicita una demo.


Fuente: BleepingComputer – Bluekit phishing kit adopts browser-in-the-middle for login theft