Ciberdelincuentes se olvidan de robar tu contraseña: ahora usan un método ‘legítimo’ llevarse los datos

La contraseña ha dejado de ser la primera línea de defensa en los ataques más recientes dirigidos a cuentas. Las campañas de phishing actuales, como EvilTokens y Kali365, ya no dependen del clásico robo de credenciales, sino que explotan mecanismos legítimos de autenticación de Microsoft para obtener acceso persistente a los datos y recursos de las víctimas.

Así lo advierten ESET y el FBI, que han detectado un crecimiento acelerado de este tipo de amenazas en 2026.

Cómo los ciberdelincuentes ahora prestan menos atención a las contraseñas

Durante años, la imagen asociada al phishing era la de mensajes mal redactados y sitios falsificados que imitaban a los originales para obtener contraseñas de usuarios desprevenidos.

EvilTokens representa un cambio radical: ya no se enfoca en copiar páginas de inicio de sesión ni en engañar a las personas para que revelen su contraseña. En cambio, induce a que las víctimas autoricen, sin saberlo, sesiones reales en la infraestructura de Microsoft.

Este nuevo enfoque aprovecha flujos legítimos de autenticación, como el llamado OAuth Device Code Flow, originalmente diseñado para facilitar el acceso en dispositivos con capacidades limitadas, como televisores inteligentes o impresoras.

El atacante inicia el proceso y utiliza una función de Microsoft para verificar previamente que la cuenta existe. Luego, genera un código de dispositivo y convence a la víctima para que lo introduzca en el portal oficial de Microsoft, bajo pretextos como “validar el acceso” o “firmar un documento pendiente”.

La víctima, sin saberlo, vincula su cuenta a la sesión iniciada por el ciberatacante. Una vez realizado este paso, Microsoft emite tokens de acceso y de actualización, que permiten al atacante ingresar a la cuenta y mantener el acceso sin necesidad de conocer la contraseña ni superar una autenticación multifactor.

Así funcionan los nuevos ataques para ingresar a las cuentas

EvilTokens y Kali365 han llevado el modelo de phishing a un nuevo nivel, ofreciendo sus servicios bajo la modalidad de Phishing as a Service. Esto significa que incluso personas sin conocimientos avanzados pueden lanzar campañas de robo de cuentas con solo contratar la plataforma adecuada.

Kali365, según la alerta del FBI, hace accesible el ataque a cualquiera. Integra señuelos de phishing generados con inteligencia artificial, plantillas automatizadas, paneles de control en tiempo real y herramientas específicas para capturar tokens de sesión. Todo está empaquetado para que los atacantes solo deban elegir el objetivo y pulsar “enviar”.

Tanto ESET como el FBI resaltan que estas plataformas no requieren el robo de contraseñas ni de códigos de autenticación, sino que explotan la confianza del usuario en los procesos oficiales de Microsoft. La víctima sigue creyendo que interactúa con su proveedor legítimo, sin advertir que autoriza el acceso a un tercero.

Este método de ataque es peligroso porque no exhibe señales clásicas de phishing, como errores visuales o dominios sospechosos. Todo el flujo ocurre dentro del ecosistema legítimo de Microsoft, lo que genera confianza y reduce la sospecha de fraude.

La obtención de tokens de acceso permite a los atacantes mantener sesiones abiertas durante largos periodos, accediendo a correos electrónicos, documentos y otros recursos corporativos. Esto facilita fraudes complejos, como el compromiso de correos de empresas (BEC), y permite ataques dirigidos a departamentos clave como Finanzas, Recursos Humanos o cargos ejecutivos.

El procedimiento típico de estas campañas funciona con estas fases:

1. Reconocimiento: el atacante verifica la existencia de la cuenta, valiéndose de funciones legítimas de Microsoft.
2. Inicio de sesión: genera un código de dispositivo, esperando que la víctima lo introduzca en el portal oficial.
3. Engaño: envía un mensaje convincente, generalmente por correo electrónico, invitando a validar el acceso o firmar un documento.
4. Autorización: la víctima ingresa el código en el sitio legítimo, sin saber que autoriza una sesión controlada por el atacante.
5. Obtención de tokens: el sistema de Microsoft emite los tokens de acceso y de actualización, que quedan en manos del ciberatacante.

Cómo protegerse del nuevo phishing de tokens

• Desconfiar de cualquier solicitud de ingreso de códigos de dispositivo que llegue sin contexto claro.
• Verificar cuidadosamente qué aplicación o servicio solicita permisos y para qué finalidad.
• Limitar el uso del flujo de código de dispositivo, deshabilitándolo si no es necesario, y revisar periódicamente los dispositivos autenticados y las sesiones abiertas.
• Capacitar a los empleados para reconocer estos engaños y evitar otorgar autorizaciones a peticiones inesperadas.
• Reportar de inmediato cualquier solicitud sospechosa al área de tecnología o seguridad.