El Ecosistema Startup > Blog > Actualidad Startup > FBI desmantela W3LL: 17.000 víctimas y $20M robados
Representación visual del kit de phishing W3LL desmantelado por el FBI, mostrando la amenaza de phishing y bypass de autenticación multifactor en startups.

FBI desmantela W3LL: 17.000 víctimas y $20M robados

por

Un kit de $500 comprometió 17.000 cuentas: así funcionaba W3LL

Por $500 al mes, cualquier ciberdelincuente sin conocimientos avanzados podía lanzar campañas de phishing industriales contra empresas de todo el mundo. Eso era W3LL Store, una plataforma que operó durante años en la sombra y que el 10 de abril de 2026 fue desmantelada por el FBI de Atlanta en coordinación con la Policía Nacional de Indonesia.

El resultado del operativo: un desarrollador detenido, dominios incautados y un rastro de más de 17.000 víctimas en todo el mundo con intentos de fraude que superan los 20 millones de dólares.

Para los founders que gestionan equipos distribuidos y usan herramientas cloud como Microsoft 365, este caso no es solo una noticia de ciberseguridad — es una advertencia directa sobre un vector de ataque que ya tiene tu empresa en el radar.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

¿Cómo funcionaba W3LL y por qué era tan peligroso?

W3LL Panel no era un simple generador de correos trampa. Era un ecosistema completo de cibercrimen como servicio, con tienda online, soporte y un modelo de negocio que en sus últimos 10 meses de operación generó estimadamente $500.000 en ingresos solo por suscripciones, según datos de la firma de inteligencia Group-IB, que documentó la amenaza desde 2022.

Su capacidad más crítica era el bypass de la autenticación multifactor mediante una técnica conocida como AiTM (Adversary-in-the-Middle). Aquí está la diferencia con el phishing convencional:

  • Phishing clásico: roba usuario y contraseña, pero se bloquea si la cuenta tiene MFA activado.
  • AiTM de W3LL: actúa como proxy en tiempo real entre la víctima y el servicio legítimo, capturando la sesión autenticada (token) en el momento exacto del login — incluyendo el código MFA. La contraseña ya no importa.

Entre octubre de 2022 y julio de 2023, el kit realizó 56.000 intentos de ataque contra cuentas de Microsoft 365, logrando comprometer 7.840 cuentas — una tasa de éxito del 14%. A escala industrial, ese porcentaje es devastador.

Además de vender el kit, W3LL Store vendía directamente accesos comprometidos: entre 2019 y 2023 comercializó más de 25.000 credenciales corporativas robadas, convirtiendo cada cuenta hackeada en una segunda fuente de ingresos.

¿Quién estaba detrás de W3LL?

El presunto desarrollador, identificado únicamente como G.L., fue detenido en Indonesia por la Policía Nacional en el marco de la operación coordinada con el FBI. Las autoridades incautaron los dominios principales de la red y bloquearon la infraestructura de distribución del kit.

Un dato relevante: W3LL ya había sido expuesta públicamente en 2023 por Group-IB, pero la operación sobrevivió migrando a canales cifrados y plataformas alternativas. Esa resiliencia — la capacidad de reaparecer tras una exposición — la diferencia de competidores como EvilProxy o Evilginx, que comparten técnicas AiTM similares pero no alcanzaron el mismo volumen ni modelo de negocio estructurado.

W3LL vs. otros kits de phishing: el contexto que importa

W3LL no operó en el vacío. Existe un mercado maduro de kits de phishing industriales, y comparar las opciones ayuda a entender la magnitud del problema:

  • EvilProxy: precio de $100–300, enfocado en Google, Apple y servicios OAuth. Técnica AiTM similar, pero menor volumen de víctimas reportadas.
  • Evilginx: precursor técnico, usa reverse proxy para capturar tokens MFA. W3LL añadió sobre ese modelo una tienda estructurada y ventas de accesos, escalando el negocio.
  • W3LL Store: el más sofisticado en términos de modelo de negocio — suscripción mensual + venta de accesos comprometidos + soporte. Una startup del cibercrimen con producto y distribución propios.

El problema no es un actor aislado: es un mercado. Desmantelar W3LL reduce el riesgo, pero no lo elimina. Otros kits con capacidades similares siguen activos.

¿Qué significa esto para tu startup?

Si tu equipo usa Microsoft 365, Google Workspace o cualquier herramienta SaaS con acceso a datos sensibles de clientes o finanzas, este caso describe exactamente el tipo de ataque al que estás expuesto hoy.

El vector de entrada de W3LL era el más común en startups tech: un empleado recibe un correo convincente, entra a una página clonada de Microsoft y en 60 segundos su sesión completa está comprometida — aunque tenga MFA activado con SMS o código de app.

Dos acciones que puedes implementar esta semana:

  • Migra a passkeys o MFA con hardware físico (como YubiKey) para cuentas críticas — correo corporativo, acceso a código fuente, cuentas de cloud y finanzas. Las passkeys basadas en FIDO2/WebAuthn son inmunes a AiTM porque generan una firma criptográfica única por dominio; un atacante no puede capturar ni reutilizar esa firma en otro servidor, aunque intercepte la sesión.
  • Audita los logs de acceso de Microsoft 365 buscando inicios de sesión desde países no habituales o dispositivos desconocidos. Activa las alertas de Microsoft Defender for Office 365 para detección de AiTM — la herramienta tiene capacidad de identificar este patrón de ataque específico.

Para equipos más grandes, añade dos capas adicionales:

  • Realiza simulacros de phishing trimestrales con herramientas como GoPhish o los servicios integrados de Microsoft. El 14% de tasa de éxito de W3LL indica que el entrenamiento reduce pero no elimina el riesgo humano.
  • Revisa si tu proveedor de identidad (Okta, Azure AD, etc.) tiene detección de sesiones AiTM habilitada — no siempre viene activada por defecto.

La lección estructural: el MFA tradicional ya no es suficiente

Durante años, activar el doble factor de autenticación fue suficiente para proteger cuentas corporativas. Kits como W3LL demuestran que ese estándar quedó obsoleto.

El nuevo estándar de facto en seguridad de identidad para empresas tech es passwordless con FIDO2: eliminás la contraseña como superficie de ataque y reemplazás el código MFA por una clave criptográfica que nunca viaja por la red. Microsoft, Google y Apple llevan dos años impulsando esta migración — el caso W3LL es el argumento más concreto que existe para acelerar ese cambio en tu organización.

En ecosistemas como el latinoamericano y español, donde muchas startups aún no tienen un responsable de seguridad dedicado, la buena noticia es que la implementación de passkeys en Microsoft 365 y Google Workspace ya no requiere conocimientos avanzados: ambas plataformas tienen guías de activación en minutos para administradores.

Conclusión

El desmantelamiento de W3LL es una victoria operacional, pero no el fin del problema. La red comprometió más de 17.000 víctimas con un kit de $500 que cualquier ciberdelincuente podía alquilar — y tecnologías similares siguen disponibles en otros mercados.

Para un founder, la lectura correcta no es 'el FBI resolvió esto'. Es: ¿cuánto tarda un atacante en comprometer mi cuenta corporativa si solo tengo contraseña + SMS como segundo factor? Con AiTM, la respuesta es menos de un minuto.

La migración a passkeys y la activación de alertas de seguridad en las herramientas que ya usas no son proyectos de meses — son decisiones que se toman esta semana y que protegen activos que tu startup tardó años en construir.

Fuentes

  1. https://wwwhatsnew.com/2026/04/14/fbi-desmantela-w3ll-phishing-17000-victimas-indonesia/ (fuente original)
  2. https://ecosistemastartup.com/w3ll-phishing-kit-el-fbi-desmantela-red-de-20m/
  3. https://www.diariobitcoin.com/estados-unidos/fbi-desmantela-w3ll-una-red-global-de-phishing-que-golpeo-a-mas-de-17-000-victimas/

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Kit de phishing W3LL comprometiendo cuentas de Microsoft 365 con vulneración de autenticación multifactor en ciberseguridad para startups.W3LL phishing kit: el FBI desmantela red de $20M Falla de Google Safe Browsing en detección de phishing 2026 impactando seguridad web para startups y credential harvesting.Google Safe Browsing falló en el 84% de los phishing Modelos de voz, transcripción e imagen de Microsoft MAI en Azure Foundry, destacando la independencia tecnológica en inteligencia artificial para founders.Microsoft MAI: modelos de voz, transcripción e imagen propios Microsoft Agent 365 gobernanza para agentes IA empresariales con seguridad y automatización en entorno corporativo digital.Microsoft Agent 365: gobernanza para agentes IA Founder contemplando los impactos del aumento de precio de Microsoft 365 por nuevas funciones de IA y seguridad en startups.Microsoft 365 sube precios: impacto y claves para startups

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly