Nueva plataforma de phishing amenaza a los usuarios de Microsoft 365

El cibercrimen continúa reinventándose con la aparición de plataformas que industrializan los ataques y facilitan su ejecución a escala global. En los últimos meses, una de estas amenazas ha conseguido sortear los mecanismos de protección de Microsoft 365 sin requerir las contraseñas de los usuarios. Según un comunicado reciente del FBI, la nueva plataforma bautizada como Kali365 representa un riesgo inédito tanto para organizaciones como para particulares.

La alerta sobre Kali365 surgió en abril de 2026, cuando el FBI advirtió sobre la operación de esta plataforma de tipo “phishing como servicio” (PhaaS). Distribuida a través de canales de Telegram, Kali365 permite que ciberdelincuentes, incluso sin grandes conocimientos técnicos, desplieguen campañas de ataque masivas contra entornos de Microsoft 365. La innovación de esta herramienta reside en el uso de ganchos generados por inteligencia artificial y plantillas automatizadas, lo que reduce las barreras de entrada para criminales menos experimentados.

Según la agencia estadounidense, Kali365 explota los protocolos de confianza legítimos diseñados por los desarrolladores de software para simplificar la conectividad entre dispositivos. Este cambio de paradigma implica que ya no es necesario descifrar contraseñas complejas, sino manipular los sistemas de autenticación incorporados por el propio fabricante.

Cómo funciona el ataque

A diferencia de los métodos tradicionales, Kali365 no persigue la obtención directa de contraseñas. En su lugar, abusa de un procedimiento legítimo de Microsoft conocido como “OAuth 2.0 Device Authorization”. Este protocolo se implementó originalmente para permitir que dispositivos sin teclado, como televisores inteligentes o impresoras, accedieran a cuentas mediante un código corto introducido en una página oficial.

Los atacantes, utilizando Kali365, inician el proceso de autorización de forma remota y generan un código de vinculación. Luego, engañan a la víctima mediante correos o mensajes falsificados para que introduzca ese código en la web oficial de inicio de sesión de Microsoft.

Una vez completado este paso y superada la verificación de doble factor, el sistema de la empresa emite un token de acceso OAuth. La plataforma captura ese token automáticamente y otorga a los ciberdelincuentes acceso completo a la cuenta del usuario, sin requerir nuevas confirmaciones de seguridad.

El comunicado del FBI subraya que este método permite la entrada ilegal en cuentas de Microsoft 365 sin levantar sospechas, ya que la interacción se produce a través de los canales oficiales de autenticación.

Dos modos de ataque: código de dispositivo y cookie link

El alcance de la amenaza ha sido evaluado por los especialistas de la firma de ciberseguridad Arctic Wolf, quienes detectaron campañas masivas dirigidas a empresas de todo el mundo. El análisis reveló que Kali365 opera con una estructura empresarial sofisticada y ofrece dos modalidades de ataque especialmente efectivas:

• Phishing de código de dispositivo: consiste en manipular el flujo OAuth para robar los tokens de identidad del usuario, utilizando la técnica ya descrita.
• Cookie Link: implementa un ataque tipo “Adversary-in-the-Middle”, en el que un servidor proxy controlado por los atacantes intercepta las cookies de sesión del navegador de la víctima inmediatamente después de una autenticación legítima.

Ambos mecanismos permiten el control remoto de cuentas y eludir las barreras de seguridad convencionales, según el informe de Arctic Wolf.

Recomendaciones de las autoridades ante la amenaza

La magnitud del riesgo ha llevado al FBI a emitir recomendaciones urgentes para administradores de sistemas y responsables de seguridad en empresas. La agencia aconseja restringir o bloquear completamente los flujos de autenticación por código de dispositivo mediante políticas de Acceso Condicional. Asimismo, insta a auditar el uso actual de estos códigos y a denegar las directivas de transferencia que permiten que una sesión activa cambie entre dispositivos.

El entorno de Microsoft 365 se enfrenta a una amenaza que pone de manifiesto la capacidad de adaptación de los cibercriminales y la necesidad de reforzar las estrategias de protección ante plataformas como Kali365. La cooperación entre empresas, especialistas y organismos de seguridad es clave para limitar el impacto de estos nuevos métodos de ataque.