Los ciberdelincuentes continúan perfeccionando sus estrategias para sortear las medidas de seguridad implantadas por las organizaciones. A medida que las empresas refuerzan sus defensas frente a las técnicas tradicionales de phishing, los atacantes están ampliando sus capacidades mediante métodos más sofisticados, como el phishing por código de dispositivo y OAuth, combinados con herramientas generadas por modelos de lenguaje e ingeniería social. Así lo explican los investigadores de Proofpoint, especializados en ciberseguridad y cumplimiento normativo.
El phishing mediante código de dispositivo era una técnica utilizada anteriormente por equipos de red teaming y grupos de ciberespionaje para autorizar aplicaciones maliciosas en cuentas de correo corporativo. Sin embargo, según detalla Proofpoint, esta práctica se ha popularizado especialmente desde finales de 2025, coincidiendo con la aparición de nuevas innovaciones en las cadenas de ataque.
La mayoría de las campañas detectadas se dirige a cuentas de Microsoft, aunque también se han identificado campañas relacionadas con Google, aunque en menor volumen. Los investigadores señalan que una de las claves de esta evolución ha sido la mejora en la generación de los códigos utilizados durante el ataque.
En las primeras versiones de este método, los atacantes generaban previamente un código que enviaban a las víctimas. El problema para los ciberdelincuentes era que dichos códigos expiraban en apenas 15 minutos. Si el usuario no veía el mensaje o retrasaba la interacción, el intento fallaba. Las campañas actuales han superado esa limitación mediante la generación dinámica del código cuando la víctima hace clic en el enlace fraudulento inicial.
Este cambio, aparentemente menor, permite que el usuario pueda iniciar la cadena de ataque en cualquier momento, aumentando notablemente las probabilidades de éxito. Además, el auge del phishing por código de dispositivo coincide con la aparición de kits especializados y servicios de phishing-as-a-service disponibles en foros delictivos.
Según explica Proofpoint, los ataques exitosos mediante esta técnica pueden derivar en el secuestro completo de cuentas, robo de información sensible, fraude, compromiso del correo electrónico empresarial, movimientos laterales dentro de redes comprometidas e incluso ataques de ransomware.
Las campañas analizadas utilizan correos electrónicos que incluyen enlaces, archivos adjuntos con URLs o códigos QR que redirigen a páginas fraudulentas relacionadas con la autenticación mediante código de dispositivo. Si la víctima introduce el código recibido en el portal legítimo de autenticación de Microsoft, el atacante logra capturar los tokens de autenticación y acceder posteriormente a la cuenta y a todos los servicios asociados.
La ingeniería social desempeña un papel fundamental en este tipo de ataques. Una de las técnicas más utilizadas es la de copiar y pegar, mediante la cual el atacante convence al usuario para copiar determinada información y pegarla en lugares donde no debería, como flujos de autenticación o ventanas de terminal.
Proofpoint destaca que este tipo de amenazas comenzó de forma limitada, con atacantes que parecían experimentar con nuevos métodos, pero terminó convirtiéndose en una amenaza relevante y comercializable como servicio dentro de entornos criminales. Según los investigadores, los nuevos métodos efectivos suelen seguir un patrón similar: unos pocos delincuentes innovan inicialmente y, si la técnica funciona, otros grupos la adoptan rápidamente.
Además, la utilización de páginas fraudulentas generadas mediante herramientas basadas en inteligencia artificial hace que los ataques resulten más convincentes para los usuarios. La rápida adopción de este tipo de phishing sugiere, según la compañía, que muchos usuarios todavía desconocen esta cadena de ataque y creen estar siguiendo procesos legítimos de autenticación.
Desde Proofpoint consideran que el crecimiento del phishing mediante código de dispositivo representa “la progresión natural del phishing de credenciales”, ya que los ciberdelincuentes necesitan desarrollar nuevas fórmulas para eludir controles de seguridad y aprovechar la creatividad en sus amenazas.
Entre las principales recomendaciones de mitigación, los expertos destacan el bloqueo del flujo de código de dispositivo para todos los usuarios como la medida más efectiva. Cuando esto no sea posible, recomiendan establecer accesos condicionales limitados a usuarios, sistemas operativos o rangos de IP autorizados, así como exigir que los inicios de sesión se realicen desde dispositivos registrados o conformes.
Asimismo, subrayan la necesidad de reforzar la concienciación de los usuarios más allá de la simple comprobación de URLs legítimas, insistiendo especialmente en que no se introduzcan códigos de dispositivo procedentes de fuentes no confiables.
