En un panorama cada vez más complejo en materia de ciberseguridad, los kits de phishing siguen siendo herramientas clave en manos de los ciberdelincuentes. Uno de los más activos en los últimos meses es CoGUI, un sofisticado kit de phishing que, según datos de Proofpoint, ha sido utilizado para lanzar campañas de gran volumen con el objetivo de robar credenciales de acceso y datos de pago de usuarios a través de correos electrónicos maliciosos que suplantan marcas reconocidas como Amazon, PayPay, Rakuten y otras compañías del ámbito financiero y del comercio electrónico.
Durante el pasado mes de enero, Proofpoint identificó más de 172 millones de mensajes asociados a campañas con CoGUI, marcando uno de los picos más significativos en cuanto a volumen de actividad maliciosa en lo que va de año.
Técnicas de evasión y perfil de ataque
CoGUI comparte algunas características con Darcula, otro kit de phishing previamente documentado y también vinculado a actores de habla china. Entre las técnicas avanzadas empleadas por CoGUI destacan mecanismos de evasión de defensas como el geofencing (limitación geográfica), headers fencing (filtrado según cabeceras HTTP) y técnicas de fingerprinting para evitar ser detectado por sistemas automáticos de análisis o entornos de prueba (sandboxes).
Aunque la mayoría de las campañas han tenido como objetivo principal a usuarios en Japón, también se han detectado actividades en países como Nueva Zelanda, Canadá y Estados Unidos. En abril de 2025, algunas de estas campañas recurrieron incluso a temas de actualidad —como el anuncio de aranceles por parte del gobierno estadounidense— como señuelo para captar la atención de los destinatarios.
Este tipo de actividad no es nuevo: en 2020, Proofpoint ya alertó sobre campañas de phishing en japonés que utilizaban técnicas similares. Las autoridades japonesas también han reconocido recientemente un aumento en este tipo de amenazas, especialmente dirigidas a instituciones financieras con el objetivo de obtener beneficios ilícitos, en ocasiones vinculados a la compra de acciones de empresas chinas.
Un kit ampliamente distribuido y adaptado
La diversidad de campañas observadas, el uso repetido de las mismas marcas como señuelo, las variaciones en la infraestructura de alojamiento y el volumen general de actividad apuntan a que CoGUI es empleado por varios grupos de ciberdelincuentes, más que por un actor único. Según Proofpoint, es probable que estos grupos sean de habla china y se dirijan principalmente a personas de habla japonesa, tanto dentro como fuera de Japón.
Durante su análisis, los investigadores de Proofpoint también identificaron paralelismos entre CoGUI y otras campañas de smishing (phishing vía SMS), como las que utilizan mensajes falsos sobre peajes pendientes en EE. UU. (Road Toll Smishing). Estas campañas comparten recursos técnicos como archivos .js y .css, perfiles de navegador generados por servicios específicos, y fragmentos de código en chino, lo que refuerza la hipótesis sobre el origen común de los ataques.
Limitaciones y medidas de protección
A pesar de su complejidad, CoGUI no incluye funciones para capturar credenciales asociadas a la autenticación multifactor (MFA), una capa de seguridad que se está convirtiendo en estándar frente al robo de credenciales. No obstante, Proofpoint advierte que podrían existir versiones del kit aún no observadas que sí incorporen esta capacidad.
Desde el equipo de investigación de amenazas de Proofpoint se insiste en la necesidad de concienciar a los usuarios. Asegurando que “los kits de phishing se basan en imitar marcas y servicios de confianza para inducir al usuario al error. Estos mensajes suelen generar urgencia para completar una acción, por lo que es fundamental detenerse, acceder directamente al sitio oficial e iniciar sesión de forma segura”, recomiendan también desde la compañía que las organizaciones eduquen a sus empleados sobre la suplantación de identidad de marcas reconocidas y promuevan la comunicación temprana con los equipos de TI en caso de detectar mensajes sospechosos. La implementación de medidas como MFA, FIDO o tokens de seguridad física puede reducir significativamente el riesgo de filtración de credenciales y las consecuencias derivadas.
