Según el FBI, las pérdidas globales asociadas al cibercrimen superaron los 20.000 millones de dólares en 2025, un 26% más que el año anterior. El fraude digital ya no depende de atacantes altamente especializados porque hoy existen plataformas que ofrecen herramientas listas para usar, paneles de administración y servicios orientados a ejecutar campañas fraudulentas a gran escala.
Este modelo, conocido como cibercrimen como servicio (Crime-as-a-Service o CaaS), funciona de forma similar a cualquier servicio digital legítimo. Un proveedor desarrolla la infraestructura y las herramientas; otros actores las utilizan para lanzar campañas de phishing, suplantación de identidad, fraude telefónico o robo de credenciales. Dentro de este ecosistema, el fraude como servicio (FaaS) es el subtipo enfocado específicamente en el fraude financiero y de identidad.
La aparición de estos servicios ha cambiado la forma en que opera el cibercrimen, reduciendo las barreras técnicas necesarias para ejecutar ataques complejos.
A continuación, repasamos algunos de los casos más relevantes de cibercrimen como servicio y cómo este modelo está impactando a sectores como banca, fintech y servicios digitales.
ShinyHunters: un caso reciente de ingeniería social a escala global
ShinyHunters ha sido vinculado a un ataque reciente en mayo de 2026 contra la plataforma educativa Canvas, utilizada por más de 30 millones de usuarios y 8.000 instituciones en todo el mundo.
El grupo de ciberdelincuencia activo utiliza ingeniería social y robo de credenciales para acceder a sistemas corporativos y entornos cloud, sin necesidad de explotar vulnerabilidades técnicas. Sus principales técnicas incluyen vishing (llamadas falsas a soporte técnico), suplantación de empleados internos, abuso de credenciales y OAuth, y acceso a plataformas SaaS legítimas.
El incidente afectó a universidades como Harvard, Princeton y Columbia, y provocó interrupciones operativas durante la temporada de exámenes finales, además de la aparición de mensajes de extorsión dentro de la plataforma.
Este caso refleja la evolución del fraude hacia modelos híbridos en los que la identidad comprometida y la manipulación de confianza se convierten en el principal vector de ataque.
Russian Coms: vishing por suscripción con soporte 24/7
Russian Coms formaba parte de una red de call centers fraudulentos desmantelada en 2025 en una operación internacional coordinada por Eurojust. El grupo operaba como una estructura organizada de fraude telefónico que logró estafar a víctimas de toda Europa por un valor superior a los 10 millones de euros.
Contaban con alrededor de 100 personas trabajando en los call centers, con roles definidos que iban desde la realización de llamadas fraudulentas hasta la falsificación de documentos bancarios y policiales.
El núcleo del fraude se basaba en técnicas avanzadas de ingeniería social. Los operadores se hacían pasar por bancos, policías o autoridades financieras para generar urgencia y credibilidad, guiando a las víctimas a transferir fondos o conceder acceso a sus cuentas.
LabHost: la plataforma de phishing como servicio que detuvo Europol
LabHost fue una de las plataformas de phishing-as-a-service más sofisticadas de los últimos años. Operaba bajo un modelo de suscripción que permitía a cualquier persona, con o sin conocimientos técnicos, lanzar campañas de phishing mediante paneles listos para usar y plantillas que imitaban a bancos, servicios postales y grandes compañías.
La plataforma fue desmantelada en 2024 en una operación internacional coordinada por Europol y posteriormente investigada por el FBI. Las autoridades identificaron una red de más de 42.000 dominios de phishing vinculados a la operación, utilizados para suplantar entidades legítimas y distribuir campañas a escala global.
El alcance del sistema da una idea de su impacto real: LabHost llegó a reunir más de 10.000 usuarios activos, almacenar más de un millón de credenciales robadas y comprometer alrededor de 500.000 tarjetas de crédito.
Genesis Market: la identidad robada como producto
Genesis Market fue una de las mayores plataformas de compraventa de identidades digitales comprometidas, desmantelada en 2023 en una operación internacional coordinada por Europol, Eurojust y autoridades de Estados Unidos y Países Bajos. Durante el operativo se realizaron más de 100 detenciones y registros simultáneos en múltiples países.
Genesis Market vendía directamente el acceso a identidades digitales ya comprometidas. Su principal producto eran los llamados “bots”: paquetes que incluían credenciales robadas, cookies, sesiones activas, historiales de navegación y datos almacenados en dispositivos infectados. En el momento de su desmantelamiento, la plataforma ofrecía acceso a más de 1,5 millones de bots asociados a alrededor de 2 millones de identidades digitales comprometidas en todo el mundo.
iSpoof: el precedente del spoofing telefónico como servicio
iSpoof fue desmantelada en 2022 en una de las mayores operaciones antifraude lideradas por Scotland Yard, con apoyo internacional de Europol. La plataforma se utilizaba para suplantar la identidad de bancos, agencias fiscales y otras entidades de confianza mediante llamadas telefónicas, haciendo que los números mostrados parecieran legítimos gracias a técnicas de caller ID spoofing.
El alcance del servicio era global. Se estima que afectó a más de 200.000 víctimas y que las pérdidas totales superaron los 115 millones de euros, con 142 detenidos vinculados a la operación.
A diferencia de otras plataformas centradas en infraestructura o automatización del ataque, iSpoof operaba en la capa más sensible del fraude: la percepción de confianza. No necesitaba robar credenciales directamente; su valor estaba en hacer que la víctima creyera que estaba hablando con su propio banco.
Tabla comparativa: cinco operaciones de cibercrimen como servicio
| Operación | Coordinación | Modalidad · Precio | Impacto | Estado |
|---|---|---|---|---|
| ShinyHunters | — | Ingeniería social / robo de credenciales No comercializado |
>30M usuarios expuestos 8.000 instituciones |
Activo · 2026 |
| Russian Coms | Eurojust | Vishing-as-a-Service ~350 £/mes |
1,3M llamadas · 500.000 números UK >10M € de pérdidas |
Desmantelado · 2025 |
| LabHost | Europol (19 países) | Phishing-as-a-Service ~249 $/mes |
10.000 usuarios · 42.000 dominios 500.000 tarjetas comprometidas |
Desmantelado · 2024 37 detenidos |
| Genesis Market | Europol / Eurojust EE. UU. / Países Bajos |
Marketplace de identidades Por bot / acceso |
1,5M bots 2M identidades comprometidas |
Desmantelado · 2023 >100 detenidos |
| iSpoof | Met Police / Europol | Spoofing telefónico-as-a-Service Suscripción |
>200.000 víctimas >115M € de pérdidas |
Desmantelado · 2022 142 detenidos |
Cómo responder al fraude como servicio
El análisis blockchain realizado tras el desmantelamiento de LabHost reveló que 20 wallets compartidas habían transaccionado también con iSpoof, moviendo más de 5,3 millones de dólares en Bitcoin entre ambas plataformas. Los mismos actores combinaban phishing, vishing y spoofing en una misma operación. Esta lógica de componentización es precisamente lo que hace que el fraude digital ya no dependa de conocimientos técnicos avanzados: hoy existen plataformas que permiten comprar infraestructura, suplantar canales de confianza o acceder directamente a identidades comprometidas.
Para sectores como banca y fintech, esto implica reforzar la prevención en distintos puntos del recorrido digital:
- Verificación continua de identidad: Ya no basta con validar al usuario al abrir una cuenta. Operaciones sensibles, cambios de dispositivo o accesos inusuales requieren controles adicionales para confirmar que detrás de la interacción sigue estando la persona legítima.
- Protección de canales vulnerables: Casos como iSpoof muestran cómo llamadas telefónicas, SMS o procesos de recuperación de acceso pueden convertirse en puntos críticos si no cuentan con mecanismos sólidos de verificación digital contra la suplantación de identidad.
- Detección temprana de comportamientos anómalos: Muchas plataformas de cibercrimen como servicio permiten automatizar ataques a gran velocidad. Identificar patrones atípicos de acceso, navegación o transacciones ayuda a frenar operaciones fraudulentas antes de que se completen.
- Coordinación entre equipos y canales: El fraude ya no ocurre en un único punto. Un ataque puede comenzar con phishing, continuar con una llamada falsa y terminar con acceso a una cuenta comprometida. Reducir riesgos requiere conectar señales entre canales digitales, operativos y de atención al cliente.
- Educación frente a ingeniería social: Aunque las herramientas evolucionan, muchas campañas siguen dependiendo de generar urgencia o confianza en la víctima. Mantener a usuarios y equipos informados continúa siendo una de las barreras más efectivas.
El cibercrimen como servicio seguirá evolucionando junto con la automatización y la inteligencia artificial. Frente a este escenario, las organizaciones necesitan combinar tecnología, verificación de identidad y monitoreo continuo para anticiparse a amenazas cada vez más sofisticadas y proteger la confianza en los entornos digitales.
Modelo de negocio criminal donde grupos especializados venden herramientas de fraude —plataformas de phishing, llamadas suplantadas, kits de credenciales— mediante suscripción mensual con soporte técnico y arquitectura lista para usar.
Los bancos detectan fraude mediante sistemas basados en reglas, modelos de CaaS es el paraguas general (cualquier servicio criminal: malware, ransomware, phishing, spoofing). FaaS es un subtipo enfocado específicamente al fraude financiero y de identidad. LabHost es FaaS dentro del ecosistema CaaS.
Operación coordinada por Europol en abril de 2024 que desmanteló LabHost, una de las mayores plataformas de phishing como servicio del mundo. Participaron 19 países, se realizaron registros en 70 direcciones simultáneas y se detuvieron 37 personas.
Russian Coms operaba como «Tech Support as a Service» criminal: por 350 libras al mes ofrecía 5.000 minutos de llamadas cifradas, soporte 24/7, música en espera y cambio de voz. Realizó 1,3 millones de llamadas falsas suplantando bancos a 500.000 números en UK.
El análisis blockchain post-LabHost demostró que 20 wallets compartidas habían transaccionado también con iSpoof, moviendo más de 5,3 millones de dólares entre ambas plataformas. Los mismos actores combinan servicios especializados (phishing + spoofing + vishing) en una misma operación — la lógica del cibercrimen actual es de componentización.