En una importante ofensiva contra el cibercrimen, Microsoft y Cloudflare se han unido para desmantelar una de las operaciones de “Phishing-como-Servicio” (PhaaS) de más rápido crecimiento dirigida a usuarios de Microsoft 365 en todo el mundo. La operación conjunta, ejecutada en septiembre de 2025, envía un mensaje claro a los ciberdelincuentes: los gigantes tecnológicos globales están preparados para cooperar y escalar esfuerzos para proteger los ecosistemas digitales.
¿Qué es RaccoonO365?
RaccoonO365—rastread0 por Microsoft como Storm-2246—era un kit basado en suscripción, comercializado abiertamente a criminales a través de Telegram. Con escasas habilidades técnicas requeridas, incluso actores novatos podían usar este kit para enviar correos electrónicos de phishing convincentes que imitaban comunicaciones auténticas de Microsoft, engañando a los usuarios para que entregaran sus credenciales. Desde mediados de 2024, se estima que el servicio capturó al menos 5.000 conjuntos de credenciales de usuarios en 94 países y que apuntó a industrias sensibles como la sanitaria, poniendo en riesgo a organizaciones y a la seguridad pública.
Un enfoque dual: acción legal y técnica
Microsoft lideró la parte legal, utilizando una orden judicial del Distrito Sur de Nueva York para incautar 338 sitios web asociados con RaccoonO365. Esto interrumpió la infraestructura principal usada para el robo de credenciales y dificultó considerablemente que los criminales accedieran a sus víctimas.
Cloudflare atacó el núcleo técnico. Su equipo Cloudforce One, junto con Trust & Safety, identificó proactivamente y eliminó cuentas de Workers, dominios y scripts maliciosos utilizados por RaccoonO365. A diferencia de anteriores desmantelamientos de dominios individuales, esta fue una acción coordinada a gran escala para “tirar de la alfombra” y cortar por completo la capacidad de los atacantes de operar mediante la plataforma de Cloudflare. El enfoque coordinado no solo interrumpió los ataques inmediatos, sino que también hizo mucho más difícil y costoso para los criminales reconstruir su operación.
Dentro de la operación: por qué importa
Los atacantes usaban técnicas avanzadas de evasión, incluidas páginas de destino basadas en CAPTCHA, verificaciones anti-bot, huellas digitales de navegador y proxys inversos, para evitar la detección de seguridad y maximizar el éxito de sus sitios de phishing. RaccoonO365 también promocionaba nuevas herramientas impulsadas por IA para aumentar la escala y eficacia de los ataques, y actualizaba continuamente su infraestructura en respuesta a las intervenciones de seguridad.
La evasión de detección se veía reforzada por Cloudflare Workers: scripts colocados delante de los kits de phishing que filtraban automáticamente el tráfico, bloqueaban herramientas de seguridad y ocultaban la ubicación de los servidores de backend. El análisis de Cloudflare no solo descubrió el mapeo completo de la infraestructura, sino que también permitió aplicar filtros específicos, bloqueos y la desactivación de cuentas ilícitas de Workers.
Atribución y el ecosistema criminal
Las investigaciones llevaron a desenmascarar a Joshua Ogundipe, considerado el cerebro detrás de RaccoonO365, operando desde Nigeria con un equipo de asociados. El grupo comercializaba el servicio en Telegram—con más de 850 suscriptores y al menos 100.000 dólares en ingresos en criptomonedas—y mantenía informados a sus clientes cuando migraban sus operaciones a nuevas infraestructuras tras los desmantelamientos.
Lecciones y defensa continua
La colaboración entre Microsoft y Cloudflare demuestra el poder de las alianzas globales en la defensa contra operaciones de phishing a escala industrial. El caso resalta la importancia crítica de la seguridad en capas—legal, técnica y colaborativa—y refuerza la determinación de la industria de enfrentar paisajes de amenazas cibernéticas en evolución. Ambas compañías instan a las organizaciones a implementar una fuerte autenticación multifactor, herramientas de seguridad actualizadas y capacitación para usuarios, al tiempo que alientan a los gobiernos a armonizar las leyes y marcos de respuesta contra el cibercrimen para lograr una acción internacional verdaderamente efectiva.