En una operación global sin precedentes, el FBI ha incautado la plataforma de phishing como servicio (PhaaS) LabHost y ha compartido públicamente una lista de 42.000 dominios de phishing vinculados a su actividad. Esta plataforma operaba desde 2021 y se consolidó como uno de los mayores ecosistemas de ciberdelincuencia del mundo hasta su desmantelamiento en abril de 2024.
🕵️ ¿Qué era LabHost?
LabHost ofrecía kits de phishing dirigidos principalmente a entidades bancarias de EE. UU. y Canadá. Por un precio mensual de entre 179 y 300 dólares, los ciberdelincuentes accedían a un panel completo para crear, personalizar y gestionar campañas de phishing en tiempo real.
Entre sus funcionalidades destacaban:
- Personalización avanzada de las páginas de phishing.
- Evasión de autenticación 2FA.
- Automatización de mensajes SMS dirigidos a las víctimas.
- Herramientas de gestión de campañas desde un panel centralizado.
El modelo de negocio era simple pero efectivo: democratizar el phishing ofreciendo una solución lista para usar a miles de actores maliciosos sin conocimientos técnicos profundos.
📉 Impacto antes del desmantelamiento
A comienzos de 2024, LabHost ya contaba con más de 10.000 clientes activos. Se estima que la plataforma facilitó el robo de:
- Más de un millón de credenciales de usuario.
- Cerca de 500.000 tarjetas de crédito.
El golpe final llegó con una operación internacional coordinada en 19 países, que incluyó registros en 70 ubicaciones y la detención de 37 personas vinculadas con la red.
🛡️ ¿Qué hacer con la lista de dominios?
Aunque los 42.000 dominios compartidos por el FBI probablemente ya no estén activos, siguen teniendo alto valor para la ciberdefensa. Estas son algunas recomendaciones para los equipos de seguridad:
- Crear listas de bloqueo preventivas para evitar su reutilización.
- Analizar registros históricos (noviembre 2021 – abril 2024) para detectar accesos pasados a esos dominios.
- Extraer patrones de nomenclatura y comportamiento útiles para entrenar modelos de detección de phishing.
- Correlacionar inteligencia de amenazas y apoyar la atribución de campañas.
⚠️ El FBI advierte que no ha validado todos los dominios, por lo que la lista puede contener errores tipográficos o entradas irrelevantes. Aun así, representa una fuente valiosa para investigaciones y fortalecimiento de defensas.