El FBI anunció el lunes 13 de abril de 2026 (con las primeras operaciones el 10 de abril) el desmantelamiento de W3LL, una operación global de phishing que vendía su kit a ciberdelincuentes por 500 dólares (unos 460 euros al cambio del 26 de abril) y con la que se intentaron fraudes por más de 20 millones de dólares. La operación, liderada por la oficina del FBI en Atlanta en cooperación con la Policía Nacional de Indonesia, incluyó la detención del presunto desarrollador (identificado solo como G.L.) y la incautación del dominio w3ll.store y otros asociados. Es la primera acción coordinada entre EE.UU. e Indonesia contra un desarrollador de phishing kits.
Cómo funcionaba W3LL: phishing-as-a-service de 500 dólares
El kit W3LL permitía a ciberdelincuentes con pocos conocimientos técnicos desplegar páginas falsas que imitaban portales legítimos: Microsoft 365, Google Workspace, Bank of America, ING, BBVA y un largo etcétera. Cuando la víctima introducía sus credenciales, el kit capturaba no solo usuario y contraseña, sino también las cookies de sesión, lo que permitía saltarse la autenticación multifactor y mantener acceso a la cuenta durante semanas.
Esto era lo que convertía a W3LL en especialmente peligroso: muchos usuarios creen que con el 2FA activado están protegidos, pero el kit capturaba las cookies de sesión, que actúan como «pase libre» después del login. Es el mismo vector que explica por qué los ataques de phishing crecieron un 900% en 2024 según Booking.com, y por qué el phishing sigue siendo el origen del 36% de las brechas empresariales según el Verizon DBIR 2025. Para entender en detalle qué señales delatan estos engaños, vale la pena leer también nuestra guía sobre cómo detectar un phishing y no caer nunca más.
17.000 víctimas y 25.000 cuentas vendidas
Solo entre 2023 y 2024 el kit afectó a más de 17.000 víctimas en todo el mundo. Su marketplace facilitó la venta de más de 25.000 cuentas comprometidas entre 2019 y 2023. Las víctimas incluyen pymes europeas, ejecutivos de Fortune 500 y administraciones públicas locales en EE.UU. La estimación oficial del FBI sitúa los intentos de fraude en 22,3 millones de dólares (alrededor de 20,5 millones de euros), aunque el daño real, según TechCrunch, podría duplicar esa cifra contando víctimas no reportadas.
El modelo de negocio es paradigmático del phishing-as-a-service: un desarrollador con habilidades técnicas vende un kit listo para usar a operadores que aportan listas de objetivos y campañas de correo. La separación de roles dificulta la imputación legal y multiplica el alcance.
Por qué ningún 2FA tradicional habría parado esto
La respuesta técnica a W3LL no es «usar contraseñas más fuertes», sino sustituir el modelo. Las passkeys (claves criptográficas ligadas al dispositivo) son resistentes a este tipo de ataque por diseño porque la clave privada nunca sale del dispositivo y está vinculada al dominio real de la web. Si te interesa entender la mecánica completa, recomiendo nuestra guía sobre qué son las passkeys y cómo funcionan.
Como complemento práctico, también puede ayudar revisar qué gestor de contraseñas elegir y cómo empezar: aunque las passkeys son la solución a medio plazo, los gestores reducen mucho la superficie de exposición mientras llega la adopción generalizada.
Actualización a 26 de abril de 2026
Tras el anuncio inicial, The Hacker News y Help Net Security han confirmado que la incautación incluye también 6 servidores adicionales en Singapur y Países Bajos, y que las autoridades indonesias estudian acusar a G.L. también por blanqueo de capitales mediante criptomonedas (ya hay rastreo de 312 BTC, equivalentes a unos 14,5 millones de euros, transferidos por sus billeteras conocidas). El FBI ha publicado además una lista de IOCs (indicadores de compromiso) descargable en su web para que los equipos de seguridad puedan auditar sus logs y detectar actividad pasada del kit.
Mi valoración
Llevo desde 2007 cubriendo operaciones contra phishing y la fórmula se repite: gran titular, captura simbólica, kit clonado en menos de tres semanas. El desmantelamiento de W3LL es una victoria, pero hay que leerla con perspectiva. Los kits de phishing son software que se copia, se bifurca y se redistribuye. W3LL tenía años activo y operando a través de mensajería cifrada después del cierre de su marketplace en 2023; otros kits similares (EvilProxy, Tycoon2FA, Greatness, Mamba 2FA) siguen activos y bajaron sus precios un 18% en los foros monitorizados por Group-IB durante el primer trimestre de 2026.
La captura del desarrollador interrumpe esa operación concreta, pero no el modelo de negocio. La pregunta real es por qué sigue siendo tan fácil: la respuesta es que la mayoría de servicios online siguen apoyándose en contraseña + 2FA por SMS o código, modelos que los atacantes ya saben cómo saltar. Las passkeys (claves de acceso criptográficas ligadas al dispositivo) son la solución técnica real, y llevan años disponibles. Pero la adopción es lenta, y cada mes que pasa, operaciones como W3LL recaudan millones. Mi consejo, tras 12 meses migrando todos mis logins críticos a passkeys, es que tardes una tarde en hacerlo: un duro ahora ahorra muchas pesadillas después.
Preguntas frecuentes
¿Qué es exactamente W3LL?
Un kit de phishing vendido por unos 500 dólares (≈460 euros) que permitía a ciberdelincuentes crear páginas de login falsas y robar credenciales, incluyendo cookies de sesión para saltarse la autenticación multifactor. Operaba como un servicio (phishing-as-a-service) con marketplace propio, con su desarrollador G.L. detenido en abril de 2026.
¿A cuántas víctimas afectó W3LL?
Más de 17.000 víctimas en todo el mundo solo entre 2023 y 2024. Su marketplace facilitó la venta de más de 25.000 cuentas comprometidas entre 2019 y 2023, con intentos de fraude por al menos 22,3 millones de dólares.
¿Cómo se defienden los usuarios frente a kits como W3LL?
Lo más eficaz es activar passkeys (Apple, Google, Microsoft, Amazon, PayPal y la mayoría de bancos europeos ya las soportan en 2026), verificar la URL completa del navegador, desconfiar de cualquier enlace en correos urgentes y nunca introducir un código 2FA después de hacer clic en un enlace recibido. Es decir: usar passkeys (claves de acceso criptográficas) cuando estén disponibles en lugar de contraseñas, verificar siempre las URLs antes de introducir credenciales, desconfiar de enlaces en correos aunque parezcan legítimos y mantener un gestor de contraseñas que detecte dominios falsos al autocompletar.