Las estrategias de phishing han experimentado una importante transformación en los últimos años. Los correos electrónicos con errores evidentes y los sitios web fraudulentos fáciles de reconocer han dado paso a técnicas mucho más sofisticadas, capaces de aprovechar plataformas legítimas para engañar a los usuarios y acceder a sus cuentas sin necesidad de obtener sus credenciales.
En este contexto, ESET, empresa especializada en ciberseguridad, ha advertido sobre EvilTokens, una herramienta de phishing como servicio (PhaaS) desarrollada para comprometer cuentas de Microsoft 365 mediante la utilización indebida de un mecanismo de autenticación legítimo. El método empleado, denominado phishing mediante códigos de dispositivo, permite a los atacantes tomar el control de cuentas corporativas incluso cuando estas están protegidas mediante autenticación multifactor (MFA).
Según explica Josep Albors, director de investigación y concienciación de ESET España, la evolución de estas amenazas obliga a replantear muchas de las recomendaciones tradicionales en materia de seguridad. “Durante años hemos enseñado a los usuarios a desconfiar de enlaces sospechosos o páginas de inicio de sesión falsas, pero ataques como EvilTokens demuestran que los delincuentes están adaptando sus tácticas. En este caso, la víctima interactúa con una página legítima de Microsoft y completa un proceso de autenticación real, lo que hace que el fraude resulte mucho más difícil de detectar”, señala.
Cuando el engaño utiliza servicios legítimos
EvilTokens aprovecha el flujo de autorización de dispositivos de OAuth 2.0, unas funcionalidades que han sido diseñadas para facilitar el inicio de sesión en dispositivos donde introducir credenciales puede resultar muy incómodos, como son las smart TV o las impresoras conectadas a la red.
Según explica ESET, el procedimiento comienza cuando los atacantes generan un código de dispositivo válido y lo incorporan a correos electrónicos o mensajes que simulan compartir documentos, facturas, invitaciones de calendario o solicitudes de acceso a plataformas corporativas. La víctima es dirigida posteriormente a una página legítima de Microsoft donde introduce dicho código y completa el proceso de autenticación.
Sin embargo, lo que aparentemente parece un acceso legítimo está autorizando en realidad la sesión iniciada previamente por el ciberdelincuente. Una vez completado el proceso, los atacantes reciben los permisos necesarios para acceder a recursos corporativos como correo electrónico, archivos, OneDrive, Teams o SharePoint.
“Este tipo de acceso puede utilizarse posteriormente para el robo de información, la exfiltración de datos o el lanzamiento de ataques de compromiso del correo electrónico corporativo (BEC), especialmente contra departamentos de finanzas, recursos humanos, logística o ventas”, alerta Albors.
Por qué resulta tan difícil de detectar
Uno de los aspectos más preocupantes de EvilTokens es que elimina muchos de los indicadores tradicionales asociados al phishing. La víctima no introduce sus credenciales en una página fraudulenta ni accede a dominios falsificados. Todo el proceso se desarrolla a través de servicios legítimos de Microsoft, lo que dificulta que los usuarios identifiquen señales de alerta.
Además, el ataque también reduce la efectividad de algunas de las medidas de protección más extendidas. Aunque la autenticación multifactor sigue siendo una herramienta esencial para reforzar la seguridad, en este caso los atacantes no la eluden técnicamente, sino que convencen a la propia víctima para que complete el proceso de validación en su nombre.
“Este tipo de campañas demuestra que los atacantes ya no siempre necesitan robar una contraseña o crear una página falsa para comprometer una cuenta. En muchas ocasiones les basta con conseguir que el usuario autorice una acción aparentemente legítima. Por eso es tan importante que las organizaciones refuercen la concienciación y adapten sus medidas de protección a la evolución constante de las amenazas”, señala el experto de ESET.
Cómo reducir el riesgo frente a este tipo de ataques
Desde ESET recuerdan que la protección frente a las amenazas modernas requiere ir más allá de las recomendaciones tradicionales contra el phishing, como:
- Desconfiar de cualquier solicitud inesperada para introducir un código de autenticación, especialmente si no has iniciado tú mismo el proceso.
- Antes de aprobar un acceso, verificar qué aplicación solicita permisos, qué cuenta está implicada y si realmente esperabas esa solicitud.
- No asumir que una petición es segura únicamente porque se produzca en una página legítima.
- Informar al departamento de TI o seguridad ante cualquier solicitud de código de dispositivo que resulte inesperada o sospechosa.
- Mantenerte alerta ante notificaciones de inicio de sesión inusuales, nuevas reglas en el correo electrónico o actividades que no reconozcas en tus cuentas.
- Si gestionas la seguridad de una organización, limitar el uso de los flujos de códigos de dispositivo cuando no sean estrictamente necesarios y refuerza la formación de los empleados frente a este tipo de técnicas.
