Un kit de phishing que subvierte el flujo de autenticación legítimo de Microsoft permite a los atacantes acceder a cuentas sin robar contraseñas ni crear páginas de inicio de sesión falsas.
15 de junio de 2026
•
,
5 min. leer

Se ha escrito mucho sobre cómo los días de los correos electrónicos de phishing cargados de gramática deficiente y diseño tosco están contados, en gran parte gracias a la IA. Mientras tanto, EvilTokens ofrece un ejemplo algo diferente de hasta dónde ha llegado el arte del phishing.
EvilTokens es un kit de phishing como servicio (PhaaS) creado para comprometer cuentas de Microsoft 365 mediante el abuso de Flujo de concesión de autorización de dispositivo OAuth 2.0. Como los ataques que utilizan el kit se basan en el phishing del código del dispositivo, evitan la necesidad de réplicas convincentes de páginas de inicio de sesión genuinas donde las víctimas entregarían sus contraseñas. En lugar de ello, los atacantes consiguen que la víctima complete un proceso de autenticación legítimo, incluida la autenticación de dos factores (2FA), en una página de inicio de sesión real de Microsoft.
El kit de herramientas se ha publicitado a través de canales de Telegram y se ha detectado en ataques activos desde al menos febrero de 2026. Como lo documenta Sekoia y otros, el kit parece haber sido rápidamente adoptado por los ciberdelincuentes e implementado en una serie de ataques de apropiación de cuentas y ataques de compromiso de correo electrónico empresarial (BEC), incluso para un campaña dirigido a más de 340 organizaciones en varios países en marzo de 2026. La propia Microsoft también ha descrito una campaña habilitada por IA que utilizó generación dinámica de códigos de dispositivos y señuelos personalizados para aumentar la tasa de éxito de los ataques de EvilTokens.
El funcionamiento interno de EvilTokens
Aquí hay una breve descripción general de cómo se desarrollan los ataques que aprovechan EvilTokens:
- El ataque en sí está precedido por un «reconocimiento» en el que los inútiles verifican primero que la cuenta objetivo esté activa. Microsoft ha visto este reconocimiento ejecutarse de 10 a 15 días antes del intento de phishing real.
- La víctima recibe un correo electrónico o un mensaje que a menudo se disfraza de factura, documento compartido, invitación de calendario o solicitud de acceso a SharePoint. El señuelo implica una página señuelo que se hace pasar por una marca o servicio confiable, junto con un texto simple como «Verificar para ver» o «Se requiere firma».
- Cuando la víctima hace clic, la página solicita un código de dispositivo de Microsoft. El código es válido sólo durante 15 minutos, por lo que el tiempo y el momento son esenciales aquí. La página muestra a la víctima el código y le dirige al portal de inicio de sesión original de Microsoft, microsoft.com/devicelogin. El problema es que el código pertenece a la sesión del atacante, por lo que la víctima, sin saberlo, autoriza el dispositivo del atacante, no el suyo.
- Al ver un inicio de sesión válido, Microsoft emite tokens de acceso y actualización para la sesión abierta por el atacante. Una vez dentro, los delincuentes pueden acceder al correo electrónico corporativo, archivos, Teams, SharePoint, OneDrive y otros recursos de Microsoft 365 y exfiltrar datos o preparar ataques BEC, razón por la cual las cuentas de finanzas, recursos humanos, logística y ventas atraen gran parte del interés de los atacantes.
¿Qué hace que EvilTokens sea peligroso?
El flujo de código de dispositivo OAuth se diseñó para dispositivos en los que puede resultar complicado iniciar sesión directamente, como televisores inteligentes o impresoras. El dispositivo muestra un código corto que el usuario ingresa en una página de Microsoft en otro dispositivo, a menudo un teléfono inteligente, y completa la autenticación allí. Luego, Microsoft emite tokens de acceso al dispositivo que solicitó el acceso.
Esa separación es útil, pero deja lugar al abuso. Los atacantes pueden generar el código y engañar a la víctima para que lo ingrese, todo mientras Microsoft solo ve un flujo de autenticación válido. La empresa hace Advierte a los usuarios en el momento de iniciar sesión mediante un texto en pantalla que les indica que no ingresen códigos de fuentes en las que no confían. Sin embargo, a veces un señuelo convincente es suficiente para que la víctima ignore cualquier advertencia.
Hablando de eso, EvilTokens elimina muchas de las señales de alerta que a la gente se le ha enseñado a notar a lo largo de los años, incluidos nombres de dominio mal escritos y páginas de inicio de sesión falsas. La página de inicio de sesión es real y, desde el punto de vista de la víctima, todo el proceso de autenticación puede parecer funcionar como se esperaba.
El ataque también «enturbia las aguas» en lo que respecta a las salvaguardias proporcionadas por 2FA. Si bien la segunda capa de autenticación nunca ha sido más importante, se queda corta cuando la víctima aprueba la sesión incorrecta. En estos ataques, los atacantes no subvierten la 2FA mediante ningún truco técnico; más bien, simplemente engañan a la víctima para que complete la 2FA por ellos.
Cómo reducir el riesgo
Los consejos de protección contra el phishing claramente no pueden limitarse a «verificar el enlace», y mucho menos «buscar errores tipográficos». Esos hábitos todavía ayudan, por supuesto, pero no resisten los ataques modernos, especialmente aquellos que abusan de los flujos de autenticación reales.
A continuación se ofrecen algunos consejos para mantenerse a salvo de EvilTokens:
- Piense en cualquier solicitud inesperada de un código de autenticación como sospechosa. Ningún documento, factura, correo electrónico u otra plataforma debe solicitar un código de dispositivo sin un motivo claro. Si la solicitud llega de la nada, márquela al equipo de seguridad o de TI de su empleador.
- El contexto importa más que la página. Antes de aprobar cualquier solicitud de inicio de sesión, verifique qué aplicación solicita acceso, qué cuenta está involucrada y si usted realmente inició la acción. Una página real de Microsoft no hace que una solicitud sea segura automáticamente.
- Las organizaciones deben restringir directamente el flujo de códigos de dispositivos donde no sea necesario. Microsoft recomienda aplicar políticas de acceso condicional para bloquear el flujo de código del dispositivo donde no sea necesario y limitarlo a usuarios, dispositivos, ubicaciones o sistemas operativos específicos.
- Esté atento a la autenticación de códigos de dispositivo inusuales, dispositivos desconocidos, inicios de sesión riesgosos, uso sospechoso de tokens y nuevas reglas de la bandeja de entrada: cualquiera de estos puede indicar problemas.
- La formación en materia de seguridad debe ponerse al día con los últimos trucos bajo la manga de los atacantes. Los empleados deben comprender que el phishing moderno no siempre implica escribir una contraseña en una página falsa. A veces, el atacante podría pedirles que introduzcan un código real en una página real, pero para el dispositivo equivocado.
- Los empleados que reciban una solicitud inesperada de código de dispositivo deben notificar a los equipos de TI o de seguridad de su empresa, quienes pueden necesitar revisar los registros de inicio de sesión, revocar sesiones, invalidar tokens de actualización, eliminar reglas maliciosas de la bandeja de entrada y deshabilitar temporalmente la cuenta comprometida.
EvilTokens es un recordatorio de que los atacantes no siempre necesitan romper la puerta de entrada o robar la llave. A veces sólo necesitan convencer a alguien para que lo abra.


