Un nuevo kit de phishing llamado
Bluekit
ofrece más de 40 plantillas dirigidas a servicios populares e incluye
funciones básicas de IA para generar borradores de campañas.
Las plantillas disponibles se pueden usar para atacar cuentas de correo
electrónico (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), servicios en la nube
(iCloud), plataformas de desarrollo (GitHub) y servicios de criptomonedas
(Ledger).
Lo que distingue a este kit es la presencia de un panel de Asistente de IA que
admite múltiples modelos, incluidos Llama, GPT-4.1, Claude, Gemini y DeepSeek,
lo que ayuda a los ciberdelincuentes a redactar correos electrónicos de
phishing.
La empresa de ciberseguridad
Varonis analizó
una versión limitada del panel de Asistente de IA de Bluekit y señaló que los
resultados generados presentaban contenido de marcador de posición, lo que
sugiere que se trata de una función en una fase experimental temprana.
«El borrador [generado] incluía una estructura útil, pero aún dependía de
campos de enlace genéricos, bloques QR de marcador de posición y texto que
requería revisión antes de su uso», afirma Varonis.
Además de la inteligencia artificial, BlueKit integra la compra/registro de
dominios, la configuración de páginas de phishing y la gestión de campañas en
un único panel.
«El Asistente de IA de Bluekit parecía más una herramienta para generar el
esqueleto de una campaña que un flujo de phishing completo».
Varonis analizó plantillas para iCloud, Apple ID, Gmail, Outlook, Hotmail,
Yahoo, ProtonMail, GitHub, Twitter, Zoho, Zara y Ledger, con diseños y
logotipos realistas. Los operadores pueden seleccionar dominios, plantillas y
modos en una interfaz unificada, configurar el comportamiento de la página de
phishing (como redirecciones, mecanismos anti-análisis y gestión del proceso
de inicio de sesión) y monitorizar las sesiones de las víctimas en tiempo
real.
Según las opciones del panel de control, los usuarios tienen un control
preciso sobre el comportamiento de las páginas de phishing y pueden bloquear
el tráfico VPN o proxy, los agentes de usuario sin interfaz gráfica o
configurar filtros basados en huellas digitales. Los datos robados se
extraen a través de Telegram, en canales privados accesibles para los
operadores.
El monitoreo de la sesión posterior a la captura incluye cookies,
almacenamiento local y estado de la sesión en tiempo real, mostrando lo que la
víctima recibió tras iniciar sesión, lo que ayuda a los operadores a
perfeccionar sus ataques para lograr la máxima efectividad.
Varonis comenta que Bluekit es otro ejemplo de una plataforma de phishing
«todo en uno», que proporciona a los ciberdelincuentes de menor nivel
herramientas completas para gestionar todo el ciclo de vida de un ataque de
phishing.
Sin embargo, el kit parece estar actualmente en desarrollo activo, recibiendo
actualizaciones frecuentes y evolucionando rápidamente, lo que lo convierte en
un buen candidato para una mayor adopción.
Esto refuerza la tendencia general de las plataformas de ciberdelincuencia a
integrar la IA para optimizar y escalar sus operaciones. Abnormal Security
informó recientemente sobre
ATHR, una plataforma de phishing por voz que utiliza agentes de IA para realizar
ataques de ingeniería social.