Los ciberdelincuentes explotan un mecanismo real de autenticación para acceder a cuentas corporativas
Los ciberdelincuentes explotan un mecanismo real de autenticación para acceder a cuentas corporativas incluso con MFA activada
El phishing ha dejado de ser, en muchos casos, aquel correo mal escrito que conducía a una página burdamente clonada. La nueva generación de ataques contra cuentas corporativas es más silenciosa, más técnica y mucho más difícil de detectar para el usuario medio. EvilTokens, un kit de phishing como servicio que ha puesto en alerta a investigadores de ciberseguridad, representa precisamente ese salto: ya no necesita convencer a la víctima para que entregue su contraseña en una web falsa. Le basta con inducirla a completar un proceso real de autenticación en Microsoft.
La amenaza se dirige especialmente contra cuentas de Microsoft 365, el entorno que utilizan miles de empresas para su correo, documentos, reuniones, almacenamiento y colaboración interna. El riesgo no está solo en la pérdida de acceso a un buzón. Una vez dentro, los atacantes pueden revisar correos, localizar facturas, estudiar conversaciones internas, interceptar comunicaciones, preparar fraudes de tipo BEC —compromiso del correo corporativo— o moverse hacia otros servicios conectados a la identidad de la víctima.
La particularidad de EvilTokens es que aprovecha el llamado flujo de código de dispositivo de OAuth 2.0, un sistema legítimo pensado para iniciar sesión en equipos con una interfaz limitada, como televisores inteligentes, impresoras, dispositivos IoT o herramientas de línea de comandos. En condiciones normales, el usuario recibe un código en un dispositivo y lo introduce en una página oficial para autorizar el acceso. El problema aparece cuando ese mecanismo se traslada al terreno del engaño.
El ataque empieza con un mensaje aparentemente rutinario: una supuesta factura, una solicitud de validación, una invitación a revisar un documento compartido o cualquier otra excusa adaptada al día a día de una empresa. El correo puede no contener una página falsa de Microsoft. Esa es precisamente su fuerza. La víctima es dirigida a una página legítima de Microsoft, introduce el código que se le ha facilitado y completa la autenticación multifactor convencida de que está validando una acción normal.
En realidad, el código no pertenece a una operación iniciada por ella, sino a una sesión abierta previamente por el atacante. Al introducirlo, el usuario está autorizando sin saberlo el acceso del dispositivo del ciberdelincuente. Microsoft interpreta la operación como válida porque se ha realizado en su infraestructura real y con los factores de autenticación correspondientes. El resultado es que el atacante obtiene tokens de acceso y de refresco que le permiten operar dentro del entorno corporativo como si fuera el propio usuario.
Aquí reside el cambio de paradigma. La autenticación multifactor sigue siendo una barrera esencial contra muchos ataques, pero no basta por sí sola cuando el fraude se apoya en mecanismos legítimos y consigue que la víctima apruebe la sesión. No se trata de un fallo simple de contraseña ni de una página fraudulenta fácilmente detectable por el dominio. La operación puede discurrir por servicios oficiales, con una apariencia completamente normal para quien no conozca esta técnica.
Los departamentos más expuestos son aquellos que manejan información sensible, pagos, datos personales o comunicaciones de alto valor: finanzas, recursos humanos, logística, ventas, administración y dirección. Una cuenta comprometida en cualquiera de estas áreas puede convertirse en la puerta de entrada para fraudes de facturas, cambios de cuenta bancaria, órdenes de transferencia falsas, robo documental o campañas internas contra otros empleados.
El modelo de phishing como servicio agrava el problema. Herramientas como EvilTokens reducen la barrera de entrada para que delincuentes con menor capacidad técnica puedan lanzar campañas sofisticadas. Los kits se distribuyen en entornos cerrados, se apoyan en automatizaciones, plantillas de engaño y paneles de control, y permiten explotar identidades corporativas a gran escala. La ciberdelincuencia ya no vende solo malware: vende procesos completos de intrusión listos para usar.
La respuesta empresarial no puede limitarse a pedir a los empleados que “no hagan clic”. Esa recomendación sigue siendo válida, pero se queda corta ante ataques que utilizan páginas legítimas y flujos oficiales. Las organizaciones deben revisar si realmente necesitan permitir el flujo de código de dispositivo en su entorno Microsoft 365. Si no es imprescindible, la medida más prudente es bloquearlo o limitarlo mediante políticas de acceso condicional. Si existen usos legítimos —por ejemplo, determinados dispositivos de sala, equipos compartidos o herramientas técnicas— deben quedar documentados, acotados y monitorizados.
También resulta clave auditar los registros de inicio de sesión para detectar usos anómalos de este tipo de autenticación, revisar sesiones activas, controlar tokens, vigilar reglas sospechosas en buzones y reforzar la formación del personal con ejemplos reales. La alerta principal para el usuario debe ser clara: nunca debe introducirse un código de autenticación que no se haya solicitado de forma consciente y directa. Que la página sea legítima no significa que la petición también lo sea.
EvilTokens confirma una tendencia inquietante: el phishing moderno ya no necesita parecer falso. Puede servirse de la confianza que generan las grandes plataformas tecnológicas y de la rutina diaria de los empleados. En ese escenario, la seguridad no depende solo de tener MFA activada, sino de controlar qué flujos de autenticación están permitidos, qué aplicaciones pueden solicitar acceso y cómo se detecta una sesión anómala antes de que el daño sea irreversible.
El mensaje para las empresas es directo: la identidad digital se ha convertido en el nuevo perímetro de seguridad. Protegerla exige pasar de la simple prevención por contraseña a una gestión activa de sesiones, tokens, permisos y comportamientos. EvilTokens no es solo otro caso de phishing. Es una advertencia de que los delincuentes ya no buscan únicamente credenciales: buscan que el propio sistema les abra la puerta.
