{"id":378,"date":"2026-06-16T05:57:03","date_gmt":"2026-06-16T05:57:03","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/06\/16\/un-ataque-de-phishing-que-no-roba-tu-contrasena\/"},"modified":"2026-06-16T05:57:03","modified_gmt":"2026-06-16T05:57:03","slug":"un-ataque-de-phishing-que-no-roba-tu-contrasena","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/06\/16\/un-ataque-de-phishing-que-no-roba-tu-contrasena\/","title":{"rendered":"Un ataque de phishing que no roba tu contrase\u00f1a"},"content":{"rendered":"<div>\n<p class=\"sub-title\">Un kit de phishing que subvierte el flujo de autenticaci\u00f3n leg\u00edtimo de Microsoft permite a los atacantes acceder a cuentas sin robar contrase\u00f1as ni crear p\u00e1ginas de inicio de sesi\u00f3n falsas.<\/p>\n<div class=\"article-authors d-flex flex-wrap\">\n<div class=\"article-author d-flex\"><picture><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x45\/wls\/2023\/2023-8\/christian-ali-bravo.jpeg\" media=\"(max-width: 768px)\"\/><img decoding=\"async\" class=\"author-image me-3\" src=\"https:\/\/web-assets.esetstatic.com\/tn\/-x45\/wls\/2023\/2023-8\/christian-ali-bravo.jpeg\" alt=\"Christian Ali Bravo\"\/><\/picture><\/div>\n<\/div>\n<p class=\"article-info mb-5\">\n        <span>15 de junio de 2026<\/span><br \/>\n        <span class=\"d-none d-lg-inline\"> \u2022 <\/span><br \/>\n        <span class=\"d-inline d-lg-none\">, <\/span><br \/>\n        <span>5 min. leer<\/span>\n    <\/p>\n<div class=\"hero-image-container\">\n        <picture><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x266\/wls\/2026\/06-26\/eviltokens-device-token-theft.jpg\" media=\"(max-width: 768px)\"\/><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x425\/wls\/2026\/06-26\/eviltokens-device-token-theft.jpg\" media=\"(max-width: 1120px)\"\/><img decoding=\"async\" class=\"hero-image\" src=\"https:\/\/web-assets.esetstatic.com\/tn\/-x700\/wls\/2026\/06-26\/eviltokens-device-token-theft.jpg\" alt=\"EvilTokens: un ataque de phishing que no roba tu contrase\u00f1a\"\/><\/picture>    <\/div>\n<\/div>\n<div>\n<p>Se ha escrito mucho sobre c\u00f3mo los d\u00edas de los correos electr\u00f3nicos de phishing cargados de gram\u00e1tica deficiente y dise\u00f1o tosco est\u00e1n contados, en gran parte gracias a la IA. Mientras tanto, EvilTokens ofrece un ejemplo algo diferente de hasta d\u00f3nde ha llegado el arte del phishing.<\/p>\n<p>EvilTokens es un kit de phishing como servicio (PhaaS) creado para comprometer cuentas de Microsoft 365 mediante el abuso de <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity-platform\/v2-oauth2-device-code\">Flujo de concesi\u00f3n de autorizaci\u00f3n de dispositivo OAuth 2.0<\/a>. Como los ataques que utilizan el kit se basan en el phishing del c\u00f3digo del dispositivo, evitan la necesidad de r\u00e9plicas convincentes de p\u00e1ginas de inicio de sesi\u00f3n genuinas donde las v\u00edctimas entregar\u00edan sus contrase\u00f1as. En lugar de ello, los atacantes consiguen que la v\u00edctima complete un proceso de autenticaci\u00f3n leg\u00edtimo, incluida la autenticaci\u00f3n de dos factores (2FA), en una p\u00e1gina de inicio de sesi\u00f3n real de Microsoft.<\/p>\n<p>El kit de herramientas se ha publicitado a trav\u00e9s de canales de Telegram y se ha detectado en ataques activos desde al menos febrero de 2026. Como lo documenta <a href=\"https:\/\/blog.sekoia.io\/new-widespread-eviltokens-kit-device-code-phishing-as-a-service-part-1\/\">Sekoia<\/a> y otros, el kit parece haber sido r\u00e1pidamente adoptado por los ciberdelincuentes e implementado en una serie de ataques de apropiaci\u00f3n de cuentas y ataques de compromiso de correo electr\u00f3nico empresarial (BEC), incluso para un <a href=\"https:\/\/thehackernews.com\/2026\/03\/device-code-phishing-hits-340-microsoft.html\">campa\u00f1a<\/a> dirigido a m\u00e1s de 340 organizaciones en varios pa\u00edses en marzo de 2026. La propia Microsoft tambi\u00e9n ha <a href=\"https:\/\/www.theregister.com\/security\/2026\/04\/07\/hundreds-compromised-daily-in-microsoft-device-code-phishes\/5222742\">descrito<\/a> una campa\u00f1a habilitada por IA que utiliz\u00f3 generaci\u00f3n din\u00e1mica de c\u00f3digos de dispositivos y se\u00f1uelos personalizados para aumentar la tasa de \u00e9xito de los ataques de EvilTokens.<\/p>\n<h2>El funcionamiento interno de EvilTokens<\/h2>\n<p>Aqu\u00ed hay una breve descripci\u00f3n general de c\u00f3mo se desarrollan los ataques que aprovechan EvilTokens:<\/p>\n<ul>\n<li>El ataque en s\u00ed est\u00e1 precedido por un \u00abreconocimiento\u00bb en el que los in\u00fatiles verifican primero que la cuenta objetivo est\u00e9 activa. Microsoft ha visto este reconocimiento ejecutarse de 10 a 15 d\u00edas antes del intento de phishing real.<\/li>\n<li>La v\u00edctima recibe un correo electr\u00f3nico o un mensaje que a menudo se disfraza de factura, documento compartido, invitaci\u00f3n de calendario o solicitud de acceso a SharePoint. El se\u00f1uelo implica una p\u00e1gina se\u00f1uelo que se hace pasar por una marca o servicio confiable, junto con un texto simple como \u00abVerificar para ver\u00bb o \u00abSe requiere firma\u00bb.<\/li>\n<li>Cuando la v\u00edctima hace clic, la p\u00e1gina solicita un c\u00f3digo de dispositivo de Microsoft. El c\u00f3digo es v\u00e1lido s\u00f3lo durante 15 minutos, por lo que el tiempo y el momento son esenciales aqu\u00ed. La p\u00e1gina muestra a la v\u00edctima el c\u00f3digo y le dirige al portal de inicio de sesi\u00f3n original de Microsoft, microsoft.com\/devicelogin. El problema es que el c\u00f3digo pertenece a la sesi\u00f3n del atacante, por lo que la v\u00edctima, sin saberlo, autoriza el dispositivo del atacante, no el suyo.<\/li>\n<li>Al ver un inicio de sesi\u00f3n v\u00e1lido, Microsoft emite tokens de acceso y actualizaci\u00f3n para la sesi\u00f3n abierta por el atacante. Una vez dentro, los delincuentes pueden acceder al correo electr\u00f3nico corporativo, archivos, Teams, SharePoint, OneDrive y otros recursos de Microsoft 365 y exfiltrar datos o preparar ataques BEC, raz\u00f3n por la cual las cuentas de finanzas, recursos humanos, log\u00edstica y ventas atraen gran parte del inter\u00e9s de los atacantes.<\/li>\n<\/ul>\n<h2>\u00bfQu\u00e9 hace que EvilTokens sea peligroso?<\/h2>\n<p>El flujo de c\u00f3digo de dispositivo OAuth se dise\u00f1\u00f3 para dispositivos en los que puede resultar complicado iniciar sesi\u00f3n directamente, como televisores inteligentes o impresoras. El dispositivo muestra un c\u00f3digo corto que el usuario ingresa en una p\u00e1gina de Microsoft en otro dispositivo, a menudo un tel\u00e9fono inteligente, y completa la autenticaci\u00f3n all\u00ed. Luego, Microsoft emite tokens de acceso al dispositivo que solicit\u00f3 el acceso.<\/p>\n<p>Esa separaci\u00f3n es \u00fatil, pero deja lugar al abuso. Los atacantes pueden generar el c\u00f3digo y enga\u00f1ar a la v\u00edctima para que lo ingrese, todo mientras Microsoft solo ve un flujo de autenticaci\u00f3n v\u00e1lido. La empresa <em>hace<\/em> Advierte a los usuarios en el momento de iniciar sesi\u00f3n mediante un texto en pantalla que les indica que no ingresen c\u00f3digos de fuentes en las que no conf\u00edan. Sin embargo, a veces un se\u00f1uelo convincente es suficiente para que la v\u00edctima ignore cualquier advertencia.<\/p>\n<p>Hablando de eso, EvilTokens elimina muchas de las se\u00f1ales de alerta que a la gente se le ha ense\u00f1ado a notar a lo largo de los a\u00f1os, incluidos nombres de dominio mal escritos y p\u00e1ginas de inicio de sesi\u00f3n falsas. La p\u00e1gina de inicio de sesi\u00f3n es real y, desde el punto de vista de la v\u00edctima, todo el proceso de autenticaci\u00f3n puede parecer funcionar como se esperaba.<\/p>\n<p>El ataque tambi\u00e9n \u00abenturbia las aguas\u00bb en lo que respecta a las salvaguardias proporcionadas por 2FA. Si bien la segunda capa de autenticaci\u00f3n nunca ha sido m\u00e1s importante, se queda corta cuando la v\u00edctima aprueba la sesi\u00f3n incorrecta. En estos ataques, los atacantes no subvierten la 2FA mediante ning\u00fan truco t\u00e9cnico; m\u00e1s bien, simplemente enga\u00f1an a la v\u00edctima para que complete la 2FA por ellos.<\/p>\n<h2>C\u00f3mo reducir el riesgo<\/h2>\n<p>Los consejos de protecci\u00f3n contra el phishing claramente no pueden limitarse a \u00abverificar el enlace\u00bb, y mucho menos \u00abbuscar errores tipogr\u00e1ficos\u00bb. Esos h\u00e1bitos todav\u00eda ayudan, por supuesto, pero no resisten los ataques modernos, especialmente aquellos que abusan de los flujos de autenticaci\u00f3n reales.<\/p>\n<p>A continuaci\u00f3n se ofrecen algunos consejos para mantenerse a salvo de EvilTokens:<\/p>\n<ul>\n<li>Piense en cualquier solicitud inesperada de un c\u00f3digo de autenticaci\u00f3n como sospechosa. Ning\u00fan documento, factura, correo electr\u00f3nico u otra plataforma debe solicitar un c\u00f3digo de dispositivo sin un motivo claro. Si la solicitud llega de la nada, m\u00e1rquela al equipo de seguridad o de TI de su empleador.<\/li>\n<li>El contexto importa m\u00e1s que la p\u00e1gina. Antes de aprobar cualquier solicitud de inicio de sesi\u00f3n, verifique qu\u00e9 aplicaci\u00f3n solicita acceso, qu\u00e9 cuenta est\u00e1 involucrada y si usted realmente inici\u00f3 la acci\u00f3n. Una p\u00e1gina real de Microsoft no hace que una solicitud sea segura autom\u00e1ticamente.<\/li>\n<li>Las organizaciones deben restringir directamente el flujo de c\u00f3digos de dispositivos donde no sea necesario. Microsoft recomienda aplicar pol\u00edticas de acceso condicional para bloquear el flujo de c\u00f3digo del dispositivo donde no sea necesario y limitarlo a usuarios, dispositivos, ubicaciones o sistemas operativos espec\u00edficos.<\/li>\n<li>Est\u00e9 atento a la autenticaci\u00f3n de c\u00f3digos de dispositivo inusuales, dispositivos desconocidos, inicios de sesi\u00f3n riesgosos, uso sospechoso de tokens y nuevas reglas de la bandeja de entrada: cualquiera de estos puede indicar problemas.<\/li>\n<li>La formaci\u00f3n en materia de seguridad debe ponerse al d\u00eda con los \u00faltimos trucos bajo la manga de los atacantes. Los empleados deben comprender que el phishing moderno no siempre implica escribir una contrase\u00f1a en una p\u00e1gina falsa. A veces, el atacante podr\u00eda pedirles que introduzcan un c\u00f3digo real en una p\u00e1gina real, pero para el dispositivo equivocado.<\/li>\n<li>Los empleados que reciban una solicitud inesperada de c\u00f3digo de dispositivo deben notificar a los equipos de TI o de seguridad de su empresa, quienes pueden necesitar revisar los registros de inicio de sesi\u00f3n, revocar sesiones, invalidar tokens de actualizaci\u00f3n, eliminar reglas maliciosas de la bandeja de entrada y deshabilitar temporalmente la cuenta comprometida.<\/li>\n<\/ul>\n<p>EvilTokens es un recordatorio de que los atacantes no siempre necesitan romper la puerta de entrada o robar la llave. A veces s\u00f3lo necesitan convencer a alguien para que lo abra.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Un kit de phishing que subvierte el flujo de autenticaci\u00f3n leg\u00edtimo de Microsoft permite a los atacantes acceder<\/p>\n","protected":false},"author":1,"featured_media":379,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-378","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/378","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=378"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/378\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/379"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=378"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=378"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=378"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}