miércoles, 15 de julio de 2026
Policial

Phishing moderno: EvilTokens accede a sistemas vulnerando mecanismo de autenticación legítima

Una novedosa campaña de phishing detectada por el equipo de Sekoia, con gran actividad en marzo de 2026, ha cambiado su enfoque tradicional. Ya no utiliza correos falsos, páginas clonadas ni roba de credenciales convencionales.

En este esquema, es la víctima quien ingresa a un sitio real e interactúa con la infraestructura legítima de Microsoft. El proceso de autenticación utiliza servicios oficiales, por lo que la autenticación es válida y es la propia víctima quien autoriza el acceso. El ciberatacante no roba la contraseña para ingresar, sino que obtiene tokens de sesión legítimos emitidos por el proveedor de identidad.

De este modo, el ciberatacante obtiene una sesión legítima, autenticada correctamente, con el multifactor de autenticación aprobado y emitida por Microsoft, sin necesidad de robar una contraseña o vulnerar la plataforma, ya que es la víctima quien autoriza el acceso.

EvilTokens es una plataforma de Phishing as a Service que busca comprometer cuentas de Microsoft 365, incluso aquellas con multifactor de autenticación activado, abusando del flujo de código de dispositivo OAuth.

Los cibercriminales engañan a la víctima para que complete el proceso de autenticación en las páginas oficiales de inicio de sesión de Microsoft, logrando acceder a los recursos y datos sin levantar sospechas, como si se tratara de una actividad habitual. Esta campaña, activa desde al menos febrero de 2026, circula a través de canales de Telegram. Solo durante marzo afectó casi 350 organizaciones, con especial foco en Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania.

Desde mediados de marzo de 2026, Microsoft observó el lanzamiento de entre 10 y 15 campañas distintas cada 24 horas.

Para comprender cómo opera EvilTokens, el ataque se desarrolla en varios pasos. En primer lugar, el ciberatacante verifica si la cuenta realmente existe a través de una función legítima de Microsoft. Este reconocimiento previo suele hacerse varios días antes del phishing para asegurarse de atacar únicamente cuentas válidas.

Luego, el ciberdelincuente genera un pedido de acceso legítimo utilizando el flujo OAuth Device Code de Microsoft, lo que genera un código temporal a la espera de autorización. Este código queda asociado a la sesión del ciberatacante.

Posteriormente, el ciberatacante envía a la víctima un mensaje convincente a través de correo, una invitación, un supuesto documento o una alerta corporativa, utilizando frases como «Complete la validación en Microsoft», «Tienes un documento pendiente» o «Firma requerida».

Si la víctima cae en el engaño y hace clic en el enlace, será redirigida al portal real de Microsoft, donde tanto el dominio como el flujo de autenticación son genuinos, lo que hace que el ataque resulte especialmente convincente.

El paso crítico ocurre cuando la víctima ingresa el código, que no pertenece a una acción iniciada por ella, sino a la sesión que inició el ciberatacante. Sin saberlo, la víctima está vinculando su cuenta a la sesión del actor malicioso.

Debido a esta acción, Microsoft interpreta que el usuario autorizó la sesión y emite access tokens, credenciales temporales que permiten acceder a una cuenta ya autenticada, y refresh tokens de mayor duración que permiten generar nuevos access tokens de forma automática. Estos tokens se entregan a la sesión que controla el ciberatacante.

La clave del éxito de EvilTokens es el abuso del OAuth Device Code Flow, un mecanismo legítimo de autenticación de Microsoft diseñado para dispositivos con capacidades limitadas como Smart TVs, impresoras o equipos IoT. Aunque fue pensado para casos en los que resulta incómodo ingresar credenciales manualmente, los ciberatacantes logran generar device codes para distribuirlos a través de campañas de phishing.

EvilTokens es especialmente peligroso porque no presenta las señales de alerta clásicas del phishing: no utiliza dominios sospechosos ni presenta errores visuales o gramaticales. Por el contrario, todo en el flujo es técnicamente legítimo: el sitio, el multifactor de autenticación y el proceso de autenticación. Al ocurrir dentro de la infraestructura de Microsoft, la víctima confía y no sospecha que se trata de un engaño.

Cuando el ataque es efectivo, el cibercriminal obtiene acceso persistente a correos electrónicos y documentos corporativos, lo que abre la posibilidad concreta de realizar fraudes especialmente dirigidos o del tipo business email compromise. En este contexto, los cibercriminales apuntan principalmente a los departamentos de Finanzas, Recursos Humanos y Logística, así como también a cargos ejecutivos.

Con Información de blog.segu-info.com.ar

Editor

Redacción.

Deja tu comentario