Las autoridades neerlandesas detuvieron recientemente a un joven de 21 años de Dordrecht acusado de vender acceso a JokerOTP, una plataforma de phishing automatizada que facilitaba la captura de contraseñas de un solo uso (OTP) para usurpaciones de cuenta. Según la policía, esta detención es la tercera relacionada con una investigación que se prolongó varios años y que ya había desarticulado en 2025 la operación de JokerOTP como un servicio criminal comercializado a otros delincuentes.
JokerOTP operaba como un phishing-as-a-service (PhaaS): los responsables ofrecían licencias y acceso a un panel y a bots que podían automatizar llamadas y mensajes a víctimas para solicitarles códigos temporales justo cuando estos llegaban a sus dispositivos. La mecánica era simple y efectiva: los atacantes utilizaban credenciales comprometidas para iniciar intentos de acceso y, al mismo tiempo, el bot llamaba a la víctima haciéndose pasar por la entidad legítima solicitando el código OTP. Por la coincidencia temporal entre la entrega del código y la llamada fraudulenta, muchas personas creyeron estar colaborando para proteger su cuenta y entregaron el código sin sospechar.
Las consecuencias fueron cuantiosas. En apenas un par de años, la plataforma se vincula a decenas de miles de incidentes que afectaron a usuarios en más de una docena de países y provocaron pérdidas financieras estimadas en alrededor de 10 millones de dólares. Algunos de los servicios más afectados incluían plataformas de pago y comercio electrónico ampliamente utilizadas, como PayPal, Venmo, Coinbase, Amazon y Apple. Para sostener estas afirmaciones y seguir la evolución del caso puede consultarse la nota de la policía neerlandesa sobre la detención más reciente aquí, y una cobertura periodística con detalles técnicos y cronología en BleepingComputer.
La venta de acceso se realizaba en canales de mensajería como Telegram, donde se ofrecían claves de licencia para usar el servicio. Los compradores, que la policía ya ha identificado en numerosas ocasiones dentro de los Países Bajos, podían configurar el software para capturar no solo códigos de autenticación, sino también PIN, datos de tarjeta y otros datos sensibles que permitieran apoderarse de cuentas o mover fondos a cuentas controladas por los criminales. Un informe policial en el Reino Unido que documenta detenciones relacionadas y el alcance de los ataques también contribuye a entender el impacto internacional de la operación aquí.
¿Por qué funcionaba esta estafa? Porque los códigos OTP están diseñados para expirar rápido y confirmar que quien inicia un inicio de sesión es el legítimo propietario. Pero su fortaleza depende de cómo se protejan y de la forma de entrega: los códigos enviados por SMS o correo electrónico son más vulnerables a este tipo de engaño social si se agrega un elemento humano o automatizado —como una llamada falsa— que convence a la víctima de introducir el código. La explicación de la investigación y el testimonio del equipo que investiga el caso están disponibles en el comunicado de la policía neerlandesa, donde se detalla cómo el bot contactaba automáticamente a las víctimas para pedirles el código, provocando que muchas colaboraran creyendo ayudar a proteger su cuenta ver comunicado.
Además de las detenciones penales, las autoridades han subrayado que quienes sufren este tipo de fraudes no deben avergonzarse: los ataques combinan ingeniería social y sincronización técnica para inducir confianza y miedo, creando una sensación de urgencia que nubla el juicio. La policía recomienda revisar señales de fraude como solicitudes inesperadas de PIN o contraseñas y la creación artificial de urgencia, y recuerda que existen herramientas para comprobar si tus datos han sido expuestos en brechas conocidas. Entre las herramientas públicas mencionadas por los investigadores están Have I Been Pwned y el servicio neerlandés para comprobar filtraciones CheckJeHack.
¿Qué puede hacer un usuario para reducir el riesgo? La recomendación más sólida es optar por mecanismos de autenticación que sean resistentes al phishing: aplicaciones autenticadoras basadas en TOTP tienen mejor resistencia que el SMS, pero lo ideal son soluciones de autenticación sin contraseña o tokens hardware que implementen estándares como FIDO2. Las guías de organismos oficiales recuerdan que la autenticación multifactor basada en factores verificables por el servidor y libre de vectores de forwardable codes reduce mucho el riesgo de que un tercero pueda reutilizar un código interceptado. Para profundizar en buenas prácticas técnicas conviene revisar las recomendaciones de NIST sobre autenticación (SP 800-63B) NIST SP 800-63B y las orientaciones de la agencia de ciberseguridad estadounidense sobre MFA CISA - Multi-Factor Authentication.
La investigación continúa y, según la policía, varios compradores del servicio JokerOTP en los Países Bajos han sido identificados y serán procesados en su momento. Este caso recuerda que los ciberatacantes no solo crean herramientas técnicas sino que las comercializan y profesionalizan, lo que vuelve imprescindible combinar la prevención tecnológica con la alfabetización digital: saber reconocer tácticas de manipulación, no compartir códigos bajo ninguna circunstancia y preferir métodos de autenticación resistentes al fraude.
Al final, la mejor defensa no es solo una tecnología concreta, sino una mezcla de controles técnicos adecuados, vigilancia de las propias exposiciones de datos y una actitud crítica ante llamadas y mensajes inesperados que pidan información sensible. La reciente detención en Dordrecht es una muestra de que las fuerzas del orden pueden seguir la pista de las redes criminales que monetizan estas vulnerabilidades, pero también una señal para que usuarios y empresas actualicen sus defensas y hábitos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...