- La plataforma criminal Kali365 permite a atacantes novatos secuestrar cuentas de Microsoft 365 mediante suscripciones en Telegram.
- La técnica de 'device code phishing' engaña a los usuarios para que autoricen el acceso desde páginas oficiales de Microsoft.
- Este método logra saltarse la autenticación de doble factor (MFA) al robar tokens de acceso OAuth directos.
- Los expertos recomiendan el uso de llaves físicas FIDO2 o Windows Hello para neutralizar esta nueva oleada de robos.
Últimamente parece que no basta con tener una contraseña de veinte caracteres y el candado del doble factor activado para estar tranquilos. Los ciberdelincuentes han subido la apuesta con una técnica que está trayendo de cabeza a los responsables de seguridad en toda Europa, especialmente por lo difícil que resulta de detectar para un usuario que no esté muy puesto en el tema.
Se trata de una ofensiva que no busca entrar por la fuerza, sino que te invita amablemente a que les abras la puerta de tu casa digital sin que te des cuenta de la jugada. Esta modalidad de estafa está haciendo estragos en entornos corporativos donde el uso de herramientas como Teams o OneDrive es el pan de cada día, poniendo en bandeja de plata información confidencial a bandas organizadas que operan desde la sombra.
El fenómeno Kali365 y el crimen por suscripción
El nombre que está en boca de todas las agencias de inteligencia, incluido el FBI, es Kali365. No es un virus al uso, sino una plataforma de ‘phishing como servicio’ que se mueve como pez en el agua por canales de Telegram. Por una cuota mensual que ronda los 250 euros, cualquier aspirante a hacker puede alquilar un kit completo para lanzar ataques masivos sin tener ni idea de programación, lo que ha democratizado peligrosamente el cibercrimen.
Este servicio viene con todo el pack: plantillas que clavan el diseño de Microsoft, paneles de control para seguir a las víctimas en tiempo real y sistemas de inteligencia artificial para redactar correos que no levanten sospechas. Es una maquinaria tan bien engrasada que permite a los delincuentes gestionar cientos de ataques simultáneos contra organizaciones de todos los tamaños en cuestión de horas.
¿Cómo consiguen engañarte con páginas oficiales?
La madre del cordero de este ataque es una técnica llamada ‘device-code phishing’. El truco es de lo más ingenioso: recibes un correo que parece venir de una dirección legítima de Microsoft informando sobre una factura pendiente o un documento compartido. El mensaje te da un código y te pide que lo introduzcas en la web oficial de microsoft.com/devicelogin, algo que a priori no debería darnos miedo porque estamos navegando en un dominio real de la compañía.
Al meter ese código, lo que estamos haciendo en realidad es autorizar la sesión del atacante. Microsoft interpreta que tú quieres conectar un dispositivo nuevo —como una consola o una tele— y, al completar el proceso, le entregas al hacker un token de acceso OAuth. Con esa ‘llave maestra’ en su poder, el delincuente puede entrar y salir de tu Outlook o tu OneDrive sin que el sistema le vuelva a pedir la contraseña nunca más.
El doble factor de seguridad ya no es el escudo definitivo
Durante años nos han machacado con que la autenticación multifactor (MFA) era la solución a todos nuestros males. Sin embargo, este nuevo método demuestra que los malos siempre van un paso por delante. Al abusar de flujos de autenticación legítimos, el atacante se salta el SMS o la notificación de la app porque es el propio usuario quien, convencido de que está haciendo un trámite rutinario, valida la entrada del intruso.
Esta situación ha encendido las alarmas porque deja a muchas empresas vendidas ante un acceso que parece totalmente legal a ojos de los registros de seguridad. Una vez dentro, los delincuentes no se cortan un pelo: revisan chats de Teams en busca de secretos, descargan archivos compartidos y hasta crean reglas de reenvío automático para que todos tus correos les lleguen a ellos sin que tú sospeches nada.
Medidas para no caer en la red de los ciberestafadores
Si te llega un código que no has pedido, lo mejor es que lo borres y no le hagas ni caso. Pero si ya es tarde y sospechas que alguien ha metido las narices en tu cuenta, lo primero es cerrar todas las sesiones activas desde el panel de seguridad de Microsoft y cambiar la contraseña por una nueva. No está de más revisar la actividad reciente para ver si hay conexiones desde países extraños o dispositivos que no te suenen de nada.
Para los que quieran subir el nivel de protección, los expertos recomiendan pasarse a métodos que sean resistentes al phishing, como las llaves FIDO2 o el uso de Windows Hello. Estos sistemas vinculan el acceso físicamente a tu ordenador o tu huella, lo que hace casi imposible que un pirata informático a miles de kilómetros pueda robarte la sesión por mucho que intente liarte con códigos y correos falsos.
La verdadera novedad de esta amenaza es que no se basa en un fallo de software, sino en cómo los humanos interactuamos con las herramientas que usamos para trabajar. Al final del día, la mejor defensa sigue siendo desconfiar de cualquier petición urgente que nos obligue a realizar acciones fuera de lo común, ya que los ciberdelincuentes prefieren engañar a una persona antes que intentar romper un sistema de cifrado militar, porque les resulta mucho más barato y efectivo.
Editor profesional de Tecnología y Software