Advierten que los tokens de acceso de Microsoft 365 están siendo el objetivo de una plataforma emergente de phishing como servicio (PhaaS, por sus siglas en inglés) llamada Kali365.
Detectado por primera vez en abril de 2026, Kali365 se ha distribuido a través de Telegram, lo que permite a los ciberdelincuentes obtener tokens de acceso a Microsoft 365 y eludir la autenticación multifactor sin robar las credenciales de los usuarios.
“Kali365 reduce las barreras de entrada, proporcionando a los atacantes con menos conocimientos técnicos acceso a señuelos de phishing generados por IA, plantillas de campaña automatizadas, paneles de seguimiento de individuos/entidades específicos en tiempo real y capacidades de captura de tokens OAuth”.
Este tipo de ataque se conoce como phishing de código de dispositivo, en el que los atacantes engañan a los usuarios para que inicien sesión en sus cuentas a través de un flujo de autenticación legítimo y luego roban sus tokens de acceso y actualización.
Cómo funciona el ataque
El ataque comienza con un correo electrónico de phishing que suplanta la identidad de servicios de confianza para compartir documentos o en la nube e incluye un código de dispositivo con instrucciones para visitar una página de verificación legítima de Microsoft.
Tras introducir el código, la víctima autoriza, sin saberlo, el dispositivo del atacante.
Posteriormente, el atacante captura los tokens de acceso y actualización de OAuth, lo que le permite seguir accediendo a los servicios de Microsoft 365, como Outlook, Teams y OneDrive, sin necesidad de contraseña ni de realizar comprobaciones adicionales de autenticación multifactor (MFA).
Detallaron varios consejos que los usuarios y las organizaciones pueden seguir para protegerse de los ataques de phishing mediante el código de los dispositivos.
Servicios de phishing basados en Telegram
Los investigadores también identificaron recientemente EvilTokens, otra plataforma PhaaS que se vende a través de Telegram.
El servicio proporciona a los atacantes con menos experiencia herramientas prefabricadas para campañas de phishing, incluyendo páginas de inicio de sesión falsas, automatización de la API de Microsoft y correos electrónicos generados por IA.
También incluye plantillas diseñadas en torno a notificaciones empresariales comunes, como solicitudes de acceso a SharePoint, mensajes de caducidad de contraseñas y alertas de documentos compartidos.
Según Barracuda Networks, las tácticas de phishing más comunes en 2025 incitaban a los usuarios a hacer clic en enlaces, escanear códigos QR, abrir archivos adjuntos o proporcionar información personal.
Fuente y redacción: helpnetsecurity.com
