La herramienta EvilTokens explota una falla en el flujo de código OAuth y compromete las cuentas de Microsoft 365 al evitar 2FA
Se está utilizando una nueva herramienta de phishing conocida como EvilTokens para piratear cuentas de Microsoft 365. Este kit PhaaS (phishing-as-a-service) explota el flujo de concesión de autorización de dispositivos OAuth 2.0. En lugar de crear páginas de inicio de sesión falsas para robar credenciales, EvilTokens utiliza un proceso de autenticación legítimo como arma, lo que representa una evolución significativa en las tácticas de robo de cuentas.
Comprenda cómo EvilTokens manipula el sistema de autenticación
Los investigadores de ESET han detallado el mecanismo operativo de este ataque. Los atacantes envían a las víctimas cebos que se hacen pasar por facturas, documentos compartidos, invitaciones de calendario o solicitudes de acceso a SharePoint.
Al interactuar con estos enlaces maliciosos, la víctima es dirigida a una página que solicita un código de dispositivo de Microsoft, válido por solo 15 minutos.
Un diagrama que ilustra este protocolo, publicado por Microsoft y replicado por Sekoia, ayuda a visualizar la complejidad del enfoque.
El punto crucial es que este código pertenece a la sesión del atacante. Por lo tanto, la víctima, sin saberlo, otorga autorización al dispositivo del atacante, no al suyo, lo que permite a Microsoft liberar acceso y actualizar tokens para la sesión criminal.
Sekoia ha documentado ejemplos de plantillas de phishing utilizadas por EvilTokens, que muestran la variedad de enfoques visuales empleados.
Una vez obtenido el acceso, los delincuentes pueden manipular y acceder a una variedad de recursos de Microsoft 365, incluidos el correo electrónico corporativo, archivos, Teams, SharePoint y OneDrive. Esto incluso les permite planificar ataques de compromiso de correo electrónico empresarial (BEC). Este kit de phishing se ha difundido a través de los canales de Telegram y se ha detectado su actividad en ataques activos desde al menos febrero de 2026.
Los altos riesgos de la nueva técnica de ciberataque
Originalmente, el flujo de código de dispositivo OAuth se diseñó para equipos como televisores inteligentes o impresoras. Estos dispositivos requieren un código corto para autenticarse en una página de Microsoft, utilizando otro dispositivo, lo que culmina con la emisión de tokens de acceso para el equipo inicial.
Según informa ESET, los atacantes tienen la capacidad de generar el código y engañar a la víctima para que lo introduzca, mientras que Microsoft percibe el proceso como un flujo de autenticación válido. Esta particularidad hace que EvilTokens sea especialmente peligroso, ya que las defensas de seguridad tradicionales centradas en identificar páginas de inicio de sesión fraudulentas pueden fallar, lo que requiere una vigilancia más estrecha de los propios flujos de autenticación.
Leia Também
Análisis financiero indica que GTA 6 generó mil millones de dólares en la primera hora de preventa
George Russell consigue segundo triunfo en la Fórmula 1 y lidera el GP de Austria tras controlar a Verstappen y Antonelli
Un accidente aéreo en Francia mata a 11 personas en un avión escolar que se lanzaba en paracaídas
Los investigadores de ciberseguridad han documentado previamente este kit, y Sekoia indicó su uso en una campaña que llegó a más de 340 organizaciones en varios países en marzo de 2026. Además, Microsoft describió una campaña impulsada por inteligencia artificial que empleó la generación dinámica de códigos de dispositivos para aumentar la tasa de éxito de los ataques EvilTokens.
Un punto crucial es que el ataque puede eludir la autenticación de dos factores (2FA). Esto no ocurre a través de exploits técnicos, sino engañando a la víctima para que finalice el proceso 2FA para la propia sesión del atacante.
Medidas de seguridad y recomendaciones para protegerse frente a PhaaS
Microsoft aconseja implementar políticas de acceso condicional para bloquear el flujo de código del dispositivo en entornos donde no es esencial.
Es fundamental que los usuarios y administradores estén al tanto de autenticaciones de códigos de dispositivos inusuales, dispositivos desconocidos, intentos de inicio de sesión riesgosos, uso sospechoso de tokens y la creación de nuevas reglas de bandeja de entrada.
A principios de junio, Arctic Wolf Labs supervisó una operación PhaaS llamada Kali365, identificada por primera vez en abril de 2026, que comenzó a apuntar a plataformas como Microsoft, Okta, DocuShare, AWS y MAX Messenger.
En enero, las cuentas SSO de Okta fueron objeto de una supuesta campaña de phishing del grupo ShinyHunters, que utilizó kits PhaaS personalizados para sus ataques.
