El grupo de ransomware Black Basta, responsable de cientos de ataques a empresas de todo el mundo, no actúa solo. Un nuevo informe de la firma de inteligencia KELA ha sacado a la luz cómo esta banda cibercriminal externaliza parte de sus operaciones a terceros, contratando servicios de phishing bajo demanda para obtener acceso a las redes corporativas que luego secuestra. La práctica, conocida como Phishing-as-a-Service (PhaaS), está en auge y se ha convertido en una pieza clave en la maquinaria del cibercrimen actual.
Black Basta no es un grupo cualquiera. Desde su aparición en 2022, ha estado detrás de ataques de gran repercusión como los sufridos por Capita (Reino Unido), ABB (Suiza) o Ascension Healthcare (EE. UU.). Más del 60 % de sus víctimas están en Estados Unidos, pero sus campañas han golpeado a empresas de todos los tamaños en países como Alemania, Reino Unido o Canadá.
Lo sorprendente del informe de KELA no es sólo el alcance de sus ataques, sino lo que revelan los más de 200.000 mensajes filtrados de sus comunicaciones internas: incluso este grupo tan activo y experimentado tiene problemas técnicos a la hora de lanzar campañas de phishing efectivas. Y cuando eso ocurre, recurre a especialistas.
En lugar de diseñar sus propios correos fraudulentos o páginas falsas para robar credenciales, optan por contratar a proveedores que ya tienen la infraestructura lista: plantillas, servidores, dominios falsos e incluso soporte técnico personalizado. Exactamente igual que contratar un servicio en la nube, pero en el lado oscuro de internet.
Los proveedores del engaño
El informe identifica a tres actores principales con los que Black Basta ha trabajado recientemente:
- Noizefan, creador de EvilVNC, un kit avanzado de phishing que permite interceptar sesiones activas y saltarse sistemas de doble autenticación (2FA). Incluye desde plantillas configurables hasta contenedores de navegador y extensiones de Chrome. Precio: 10.000 dólares.
- kalashnikov, un veterano del phishing que ofrece paquetes más sencillos pero eficaces, desde 200 dólares. Sus kits incluyen páginas falsas de plataformas populares (Microsoft, Facebook, Amazon, etc.), archivos HTML maliciosos y paneles de control en tiempo real.
- verb0, especializado en ataques a plataformas empresariales como Citrix y Office365 mediante técnicas de proxy inverso. Alquila dominios falsos y gestiona toda la infraestructura para que el cliente solo tenga que lanzar la campaña.
Lo que parece claro es que el phishing ya no es solo cosa de actores improvisados que mandan correos mal escritos. Es una industria con proveedores, precios, versiones premium y soporte técnico.
El auge del phishing como servicio
El modelo Phishing-as-a-Service ha crecido de forma exponencial. Según los datos de KELA, las menciones a este tipo de servicios en foros y canales clandestinos se han multiplicado por siete entre 2023 y 2025. En el primer trimestre de 2025, se contabilizaron más de 1.100 menciones a los principales proveedores, lo que evidencia el interés —y la demanda— que generan.
Para los grupos de ransomware, contratar phishing como servicio tiene sentido: reduce costes, ahorra tiempo y permite centrarse en el verdadero objetivo, que es secuestrar los datos de la víctima y pedir un rescate millonario. Además, muchas de estas plataformas ofrecen herramientas para evadir filtros de seguridad, engañar a sistemas de doble verificación y facilitar el acceso a redes corporativas.
La amenaza del phishing ya no es algo lejano: muchas empresas están siendo atacadas con herramientas que cualquiera puede alquilar en internet. Por eso, los expertos insisten en que es fundamental actuar cuanto antes. Reforzar la seguridad del correo electrónico con sistemas como SPF, DKIM y DMARC ayuda a evitar suplantaciones. También es importante dejar atrás los SMS como método de verificación y usar aplicaciones o llaves físicas más seguras. Adoptar sistemas de acceso sin contraseñas, como FIDO2, añade una capa extra de protección. Además, conviene vigilar los accesos a servicios remotos y formar a los empleados con simulacros de phishing para que aprendan a detectar intentos de engaño. Por último, contar con herramientas que detecten y eliminen páginas web falsas que imitan la imagen de la empresa puede marcar la diferencia frente a un ataque.
Más allá del malware: el negocio del acceso
El caso de Black Basta ilustra cómo el cibercrimen se ha convertido en un negocio altamente especializado y externalizado. Existen actores que no se dedican a robar datos ni a pedir rescates, sino que simplemente venden accesos, herramientas o servicios técnicos. Es una cadena de valor que recuerda a la de cualquier empresa tecnológica, con una diferencia fundamental: sus clientes no buscan beneficios legales, sino explotar vulnerabilidades y extorsionar a sus víctimas.
La lucha contra estas amenazas exige conocer cómo funcionan. Y eso es precisamente lo que consigue este informe: mostrarnos el lado menos visible —pero más real— del ransomware moderno.
