
Así roban tu sesión de AWS aunque tengas el doble factor activado
- El kit de phishing intercepta tu código MFA en tiempo real y lo reenvía antes de que caduque
- La campaña apuntó a menos de 50 ingenieros seleccionados a mano
Para colar estafas casi indetectables, los ciberdelincuentes están secuestrando cuentas de Amazon Web Services (AWS) mediante un avanzado kit de phishing. Esta amenaza utiliza capacidades AiTM (Adversary-in-the-Middle) que logran dejar completamente inútil el doble factor de autenticación. De hecho, el sistema intercepta el código MFA en tiempo real y lo reenvía a la plataforma antes de que caduque, permitiendo a los atacantes robar sesiones activas.
Esta sofisticada campaña fue detectada por Datadog Security Research recientemente, en concreto entre el 16 y el 19 de junio de 2026. A diferencia de otros ataques masivos, la operación apunta a un perfil de víctima muy concreto y exclusivo. Solo se han identificado menos de 50 destinatarios, siendo todos ellos ingenieros de software o responsables de ingeniería con base en Estados Unidos.
Cómo funciona el ataque AiTM contra AWS
Lo más preocupante de este kit es que no necesita romper el MFA, sino que simplemente lo intercepta mientras los datos están en tránsito. Así, cuando la víctima introduce sus credenciales en la página falsa, estas se reenvían rápidamente al servicio legítimo de AWS en segundo plano. Tras esto, AWS responde solicitando el segundo factor (ya sea SMS, email o código TOTP) y la pantalla fraudulenta reproduce ese mismo flujo ante el usuario engañado.
Justo en el momento en que el usuario teclea el código de seguridad, el mecanismo del kit lo captura y lo reenvía a AWS antes de que expire. Datadog deduce este comportamiento del análisis del código fuente, aunque todavía no ha podido confirmarlo mediante pruebas directas. Sin embargo, si esta inferencia es correcta, el resultado final es que los atacantes obtienen acceso a una sesión activa completamente autenticada.

Para complicar aún más las cosas, la página web falsa utilizada no es estática. Cada enlace malicioso lleva un parámetro oculto (‘input_24’) con el correo electrónico de la víctima cifrado en base64. Luego, el servidor descifra este dato y solo muestra la interfaz de phishing si la dirección coincide con su lista de objetivos; en caso contrario, devuelve una pantalla en blanco que dificulta el análisis de las herramientas de seguridad.
Menos de 50 objetivos, todos seleccionados a mano
Tal y como se mencionaba antes, esta campaña de ciberataques no es en absoluto masiva. De hecho, el análisis realizado por Datadog identificó menos de 50 direcciones de correo electrónico objetivo en total. Esto significa que cada enlace de phishing estaba construido a medida para un destinatario específico, lo cual descarta por completo una operación tradicional de red de arrastre.
Como gancho inicial, los correos suplantaban al soporte técnico oficial de AWS alertando de supuestos problemas de ancho de banda mediante tickets ficticios. Para asegurar
Tras la investigación, los expertos han catalogado varios indicadores de compromiso. Concretamente, los dominios peligrosos detectados son los siguientes:
- aws.us-west-login.com
- aws-central.us-west-login.com
- aws.us-east-prod.com
- loginportal-aws.com
Un kit activo desde julio de 2025
El mencionado parámetro ‘input_24’ sirve como una huella digital del kit malicioso y ha permitido a los investigadores rastrear su actividad previa. Se sabe que está en uso desde julio de 2025, fecha en la que se empleó por primera vez para atacar a usuarios de monederos de criptomonedas como Trezor y Ledger. Poco después, en agosto de 2025, el dominio ‘dashboard-salesforce.com’ usó ese mismo mecanismo de filtrado para suplantar la página de inicio de sesión de Salesforce.
Trabajando en paralelo con la campaña contra AWS, Datadog también identificó tres dominios adicionales que suplantaban a SendGrid con características técnicas muy similares. Estos sitios web fraudulentos eran ‘switch-sglogin.com’, ‘uslogin-prodsg.com’ y ‘us-west-prod[.com’. Los tres fueron registrados recientemente, entre el 16 y el 19 de junio de 2026, a través de NICENIC INTERNATIONAL GROUP CO., LIMITED y también fueron alojados en Cloudflare.
Estos hallazgos no surgen de la nada, ya que NVISO Labs había documentado previamente, en agosto de 2025, un kit relacionado que también suplantaba a SendGrid y a otros conocidos servicios CRM. Esta continuidad en el tiempo apunta claramente hacia un actor malicioso persistente. De hecho, todo indica que este grupo lleva más de un año refinando pacientemente su misma cadena de herramientas.
Por qué el MFA tradicional no es suficiente
Llegados a este punto, es vital entender que los ataques AiTM no explotan ningún fallo técnico en el protocolo de autenticación multifactor. En realidad, actúan como un simple intermediario invisible entre el usuario y el servicio legítimo, logrando su objetivo sin necesidad de romper la criptografía subyacente. El único requisito para que el ataque triunfe es que la víctima acceda al enlace malicioso y complete el flujo de autenticación habitual en la página falsa.
Como contexto adicional, Datadog señala que la mayoría del robo de credenciales en entornos AWS se centra habitualmente en claves de acceso (access keys), y no tanto en el










