
La contraseña ha dejado de ser la primera línea de defensa en los ataques más recientes dirigidos a cuentas. Las campañas de phishing actuales, como EvilTokens y Kali365, ya no dependen del clásico robo de credenciales, sino que explotan mecanismos legítimos de autenticación de Microsoft para obtener acceso persistente a los datos y recursos de las víctimas.
Así lo advierten ESET y el FBI, que han detectado un crecimiento acelerado de este tipo de amenazas en 2026.
Cómo los ciberdelincuentes ahora prestan menos atención a las contraseñas
Durante años, la imagen asociada al phishing era la de mensajes mal redactados y sitios falsificados que imitaban a los originales para obtener contraseñas de usuarios desprevenidos.
PUBLICIDAD
EvilTokens representa un cambio radical: ya no se enfoca en copiar páginas de inicio de sesión ni en engañar a las personas para que revelen su contraseña. En cambio, induce a que las víctimas autoricen, sin saberlo, sesiones reales en la infraestructura de Microsoft.

Este nuevo enfoque aprovecha flujos legítimos de autenticación, como el llamado OAuth Device Code Flow, originalmente diseñado para facilitar el acceso en dispositivos con capacidades limitadas, como televisores inteligentes o impresoras.
PUBLICIDAD
El atacante inicia el proceso y utiliza una función de Microsoft para verificar previamente que la cuenta existe. Luego, genera un código de dispositivo y convence a la víctima para que lo introduzca en el portal oficial de Microsoft, bajo pretextos como “validar el acceso” o “firmar un documento pendiente”.
La víctima, sin saberlo, vincula su cuenta a la sesión iniciada por el ciberatacante. Una vez realizado este paso, Microsoft emite tokens de acceso y de actualización, que permiten al atacante ingresar a la cuenta y mantener el acceso sin necesidad de conocer la contraseña ni superar una autenticación multifactor.
PUBLICIDAD
Así funcionan los nuevos ataques para ingresar a las cuentas
EvilTokens y Kali365 han llevado el modelo de phishing a un nuevo nivel, ofreciendo sus servicios bajo la modalidad de Phishing as a Service. Esto significa que incluso personas sin conocimientos avanzados pueden lanzar campañas de robo de cuentas con solo contratar la plataforma adecuada.

Kali365, según la alerta del FBI, hace accesible el ataque a cualquiera. Integra señuelos de phishing generados con inteligencia artificial, plantillas automatizadas, paneles de control en tiempo real y herramientas específicas para capturar tokens de sesión. Todo está empaquetado para que los atacantes solo deban elegir el objetivo y pulsar “enviar”.
PUBLICIDAD
Tanto ESET como el FBI resaltan que estas plataformas no requieren el robo de contraseñas ni de códigos de autenticación, sino que explotan la confianza del usuario en los procesos oficiales de Microsoft. La víctima sigue creyendo que interactúa con su proveedor legítimo, sin advertir que autoriza el acceso a un tercero.
Este método de ataque es peligroso porque no exhibe señales clásicas de phishing, como errores visuales o dominios sospechosos. Todo el flujo ocurre dentro del ecosistema legítimo de Microsoft, lo que genera confianza y reduce la sospecha de fraude.
PUBLICIDAD
La obtención de tokens de acceso permite a los atacantes mantener sesiones abiertas durante largos periodos, accediendo a correos electrónicos, documentos y otros recursos corporativos. Esto facilita fraudes complejos, como el compromiso de correos de empresas (BEC), y permite ataques dirigidos a departamentos clave como Finanzas, Recursos Humanos o cargos ejecutivos.

El procedimiento típico de estas campañas funciona con estas fases:
- Reconocimiento: el atacante verifica la existencia de la cuenta, valiéndose de funciones legítimas de Microsoft.
- Inicio de sesión: genera un código de dispositivo, esperando que la víctima lo introduzca en el portal oficial.
- Engaño: envía un mensaje convincente, generalmente por correo electrónico, invitando a validar el acceso o firmar un documento.
- Autorización: la víctima ingresa el código en el sitio legítimo, sin saber que autoriza una sesión controlada por el atacante.
- Obtención de tokens: el sistema de Microsoft emite los tokens de acceso y de actualización, que quedan en manos del ciberatacante.
Cómo protegerse del nuevo phishing de tokens
- Desconfiar de cualquier solicitud de ingreso de códigos de dispositivo que llegue sin contexto claro.
- Verificar cuidadosamente qué aplicación o servicio solicita permisos y para qué finalidad.
- Limitar el uso del flujo de código de dispositivo, deshabilitándolo si no es necesario, y revisar periódicamente los dispositivos autenticados y las sesiones abiertas.
- Capacitar a los empleados para reconocer estos engaños y evitar otorgar autorizaciones a peticiones inesperadas.
- Reportar de inmediato cualquier solicitud sospechosa al área de tecnología o seguridad.
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Modo Haaland en WhatsApp: cómo activarlo en cinco pasos
Puedes descargar la canción viral del delantero noruego y ajustarla como tono de llamada
Apple demanda a OpenAI en Estados Unidos por presunto robo de información confidencial
La demanda señala que información reservada de Apple habría sido utilizada para impulsar la entrada de OpenAI en el mercado de dispositivos

GTA Online: novedades de la semana, vehículos de premio y todo sobre el nuevo Golpe al Centro Kortz
Esta actualización incluye un robo de arte a gran escala en uno de los monumentos culturales más reconocidos de Los Santos

Disney+ ahora quiere ser como YouTube: este es el plan para ofrecer series y películas gratis
El alza de precios en plataformas streaming aceleró la migración de usuarios hacia plataformas gratuitas, donde YouTube se consolidó como el principal destino
Fútbol Libre - Noruega vs Inglaterra por el Mundial 2026: por qué esta búsqueda puede robar tu información bancaria
Buscar alternativas no oficiales para seguir Noruega vs Inglaterra puede llevar a sitios fraudulentos que imitan plataformas legítimas




