W3LLSTORE: la ‘tienda del mal’ donde los hackers compraban tu acceso al banco por solo 500 dólares

Una investigación cibernética conjunta entre la Oficina Federal de Investigaciones (FBI) en Atlanta (EE. UU.) y autoridades policiales de Indonesia permitió desmantelar una sofisticada red global de phishing conocida como W3LLSTORE, utilizada por ciberdelincuentes para robar credenciales bancarias y cometer fraudes a gran escala.

De acuerdo con las autoridades, la operación —considerada la primera de su tipo entre ambos países— logró desarticular una estructura que facilitó el robo de accesos a miles de cuentas y que habría sido utilizada para intentar estafar más de 20 millones de dólares.

El esquema giraba en torno al kit de phishing W3LL, una herramienta ampliamente utilizada que permitía a los delincuentes suplantar páginas de inicio de sesión legítimas. Por una tarifa aproximada de 500 dólares, los usuarios podían adquirir acceso al sistema y desplegar sitios web falsos casi idénticos a portales de confianza, engañando a las víctimas para que ingresaran sus datos.

Una vez capturada la información, el software no solo obtenía nombres de usuario y contraseñas, sino también datos de sesión, lo que permitía eludir mecanismos de autenticación multifactor y mantener el acceso a las cuentas comprometidas.

“Esto no era solo phishing, sino una plataforma integral de ciberdelincuencia”, afirmó Marlo Graham, agente especial a cargo de la oficina del FBI en Atlanta, quien destacó que las autoridades continuarán fortaleciendo la cooperación internacional para proteger a los usuarios.

El kit estaba respaldado por un mercado en línea denominado W3LLSTORE, donde se comercializaban credenciales robadas y accesos no autorizados, incluidas conexiones de escritorio remoto. Entre 2019 y 2023, la plataforma facilitó la venta de más de 25.000 cuentas comprometidas.

Aunque W3LLSTORE fue cerrado en 2023, la operación continuó mediante plataformas de mensajería cifrada, donde la herramienta fue renombrada y siguió distribuyéndose activamente. Solo entre 2023 y 2024, el kit fue utilizado en ataques contra más de 17.000 víctimas en todo el mundo.

Los investigadores también determinaron que el desarrollador del sistema no solo proveía la herramienta, sino que además recopilaba y revendía accesos a cuentas comprometidas, ampliando el alcance del esquema delictivo.

Como resultado de la operación, el FBI en Atlanta, en coordinación con la Fiscalía del Distrito Norte de Georgia, identificó e incautó la infraestructura utilizada para el phishing. En paralelo, la Policía Nacional de Indonesia detuvo al presunto desarrollador, identificado como GL, y decomisó dominios clave vinculados a la red. (I)