El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]
El problema que Evilginx resuelve
El phishing tradicional tiene una limitación fatal: captura credenciales, pero no sirve contra MFA.
Imagina el escenario clásico: clonas una página de login de Microsoft 365, la víctima escribe su usuario y contraseña, tú capturas esos datos. Perfecto… hasta que intentas usarlos. Microsoft te pide el código MFA del teléfono de la víctima. Game over.
Las organizaciones adoptaron MFA precisamente porque invalida las credenciales robadas por phishing tradicional. Durante años, esto fue una defensa efectiva.
Evilginx cambia las reglas del juego: en lugar de capturar credenciales, captura la sesión autenticada completa — incluyendo los tokens que se generan después de que el usuario pasa el desafío MFA.
AiTM — Adversary in The Middle
Evilginx implementa un ataque llamado AiTM (Adversary in The Middle).
El nombre es descriptivo: Evilginx se posiciona entre la víctima y el servicio legítimo, actuando como un proxy transparente.
![[Pasted image 20260331233344.png|750]]
La clave conceptual es esta: la víctima nunca interactúa con una página falsa. Interactúa con el sitio real de Microsoft (o el servicio objetivo), pero todo el tráfico pasa a través de Evilginx, que lo observa y lo copia.
Cuando la víctima escribe su contraseña → Evilginx la ve y la guarda, luego la envía a Microsoft. Cuando la víctima ingresa su código MFA → Evilginx lo ve, lo envía a Microsoft. Cuando Microsoft responde con cookies de sesión → Evilginx las copia antes de entregarlas al navegador.
El resultado: la víctima queda logueada normalmente, sin sospechar nada. Pero el atacante ahora tiene una copia exacta de las cookies de sesión, que puede importar en su propio navegador para acceder como si fuera la víctima.
Anatomía técnica de Evilginx
Evilginx tiene tres componentes conceptuales que necesitas entender:
1. Phishlets
Un phishlet es un archivo YAML que describe cómo proxear un servicio específico. Piensa en él como el conductor para cada objetivo.
El phishlet define:
- Qué dominios interceptar (ej:
login.microsoftonline.com,login.live.com) - Qué subdominios crear en tu dominio de phishing
- Qué cookies capturar (las que contienen tokens de sesión)
- Qué campos de formulario contienen credenciales
- Patrones de URL que indican login exitoso
Existen phishlets pre-construidos para servicios comunes: Microsoft 365, Google Workspace, Okta, OneLogin, LinkedIn, Facebook, etc. También puedes crear phishlets personalizados para aplicaciones internas.
2. Lures
Un lure es una URL de phishing generada para una campaña específica. Cuando activas un phishlet, Evilginx puede generar múltiples lures, cada uno con:
- Un identificador único de tracking
- Una URL de redirección post-captura (a dónde enviar a la víctima después)
- Parámetros opcionales de personalización
El lure es lo que incrustas en el email de phishing (enviado por GoPhish). Cuando la víctima hace clic, el lure activa el phishlet correspondiente.
3. Sessions
Las sessions son los datos capturados. Cada vez que una víctima completa el flujo de autenticación a través de Evilginx, se registra:
- Credenciales (usuario/contraseña)
- Tokens de sesión (cookies)
- Información del navegador/dispositivo
- Timestamps
![[Pasted image 20260331233639.png|750]] El truco técnico fundamental es la traducción de dominios en tiempo real:
Cuando Evilginx recibe el HTML de Microsoft, busca todas las referencias a login.microsoftonline.com y las reemplaza por login.evilcorp.com. Hace lo mismo con JavaScript, CSS, y cualquier recurso. El navegador de la víctima nunca ve el dominio real, solo ve el dominio del atacante, pero el contenido es idéntico.
Esto es diferente de clonar una página: Evilginx no tiene una copia estática. Cada request se proxea en tiempo real al servicio legítimo, lo que significa que cualquier cambio en la página original (nuevos captchas, cambios de UI, actualizaciones de seguridad) se reflejan automáticamente.
Tiempo de vida de los tokens
Un detalle operacional crítico: los tokens de sesión tienen fecha de expiración. El curso CRTID lo menciona explícitamente:
“The tokens will be valid till the legit session is live”
Esto significa que tienes una ventana limitada para usar los tokens capturados. Típicamente:
- Tokens de Microsoft 365: 1-24 horas (configurable por el admin)
- Tokens con “stay signed in”: hasta 90 días
- Tokens de aplicaciones empresariales: variable
Por eso las operaciones reales automatizan el uso de tokens inmediatamente después de capturarlos, o establecen persistencia alternativa (registrar un dispositivo, agregar claves SSH, crear cuentas de servicio).
Por qué Evilginx necesita un redirector NGINX
Aquí conectamos con tu arquitectura existente. Evilginx tiene certificados SSL propios y maneja TLS directamente. Entonces, ¿por qué agregar NGINX enfrente?
OPSEC Separación de superficie de ataque y por tanto separación de conceptos:
- Fingerprinting: Evilginx tiene firmas detectables (patrones de respuesta, headers específicos). Los security vendors las conocen. NGINX enfrente puede normalizar headers y añadir ruido.
- Filtrado previo: Como hiciste con Mythic y PwnDrop, el redirector NGINX filtra por User-Agent e IP antes de que el tráfico llegue a Evilginx. Requests de scanners, bots, o rangos IP de vendors de seguridad nunca tocan tu infraestructura real.
- Burning controlado: Si el dominio del redirector es reportado y bloqueado, Evilginx sigue intacto. Despliegas un nuevo redirector con dominio nuevo y continúas.
- Acceso al operador: Como Evilginx está en red interna, solo accedes vía SSH tunnel. Nunca expones el panel de administración a internet.
![[Pasted image 20260331234030.png|750]]