LabHost fue una de las plataformas de Phishing-as-a-Service (PhaaS) más activas y peligrosas del mundo entre 2021 y 2024. Permitía a ciberdelincuentes sin grandes conocimientos técnicos lanzar campañas de phishing masivas por una suscripción mensual de entre 179 y 300 dólares.
Con funciones avanzadas como el bypass de autenticación en dos pasos (2FA), gestión automatizada por SMS y paneles en tiempo real, LabHost alcanzó su punto máximo a finales de 2023, superando a muchos servicios similares.
Se estima que robó más de 1 millón de credenciales de usuarios y 500.000 registros de tarjetas de crédito antes de ser cerrado por una operación policial internacional en abril de 2024.
El FBI publica 42.000 dominios usados por LabHost
En un esfuerzo por mitigar riesgos residuales y mejorar la capacidad defensiva global, el FBI ha compartido una lista con más de 42.000 dominios utilizados por LabHost.
Estos fueron registrados entre noviembre de 2021 y abril de 2024, cuando se desmanteló la infraestructura.
Aunque estos dominios ya no están activos, la lista:
- Ayuda a los equipos de ciberseguridad a crear listas de bloqueo efectivas
- Permite analizar registros históricos para detectar accesos pasados a sitios maliciosos
- Contribuye al entrenamiento de modelos de detección de phishing con datos reales
- Facilita la atribución de ataques y la investigación forense de amenazas
El FBI advierte que la lista no ha sido completamente validada, por lo que podría contener errores tipográficos generados por los propios usuarios de LabHost.
Cómo funcionaba LabHost: phishing automatizado y a gran escala
LabHost ofrecía a sus clientes acceso a plantillas personalizables que imitaban a instituciones bancarias de EE. UU. y Canadá.
Además, incluía:
- Automatización de mensajes vía SMS para engañar a víctimas en tiempo real
- Interfaz de gestión de campañas tipo SaaS, accesible desde cualquier navegador
- Soporte técnico y actualizaciones continuas, como si fuera un producto legítimo
Esto lo convirtió en un servicio ideal para actores maliciosos con poca experiencia técnica pero con intenciones claras de realizar estafas de alto volumen.
Una operación policial internacional sin precedentes
La caída de LabHost fue posible gracias a una operación conjunta de agencias de 19 países.
En total:
- Se realizaron registros simultáneos en 70 ubicaciones
- Se arrestaron 37 personas relacionadas con la plataforma
- Se incautaron datos que podrían llevar a nuevas detenciones y desarticulación de otras redes
Esta acción es considerada uno de los mayores golpes contra el ecosistema PhaaS a nivel global.
Qué deben hacer los equipos de seguridad ahora
Aunque LabHost ya no está operativo, los riesgos de reciclaje de infraestructura o de reutilización de dominios comprometidos siguen vigentes.
Por ello, se recomienda a empresas y administradores:
- Revisar logs de tráfico web de noviembre de 2021 a abril de 2024
- Incorporar los dominios en sus motores de análisis y sistemas de detección
- Usar la lista como parte de análisis proactivos de amenazas
Además, esta información puede ser muy valiosa para educación, simulaciones de ataque y ejercicios de concienciación sobre phishing.
Conclusión
La publicación de los dominios usados por LabHost marca un hito en la lucha contra el phishing global. Esta transparencia permite a empresas y gobiernos fortalecer sus defensas y aprender de ataques pasados, mientras los cibercriminales pierden una herramienta clave en su arsenal.