Investigaciones recientes han revelado el surgimiento de un nuevo kit de phishing conocido como EvilTokens, que está diseñado para comprometer cuentas de Microsoft 365 sin la necesidad de robar contraseñas o crear páginas de inicio de sesión falsas. Este método se vale de un flujo legítimo de autenticación de Microsoft, aprovechando la tecnología OAuth 2.0 para autorizar ataques de manera más sutil y efectiva.
A diferencia de las campañas tradicionales de phishing que dependen de correos electrónicos tramposos y diseños defectuosos, EvilTokens utiliza un enfoque que puede eludir los filtros de seguridad habituales. Este kit de phishing-as-a-service (PhaaS) ha sido observado en acción desde al menos febrero de 2026 y se ha divulgado a través de canales de Telegram. Se ha reportado que se ha utilizado en una amplia gama de ataques, incluyendo el compromiso de cuentas y fraudes en el correo electrónico empresarial (BEC), afectando a más de 340 organizaciones en marzo de 2026.
El mecanismo de ataque típicamente comienza con una fase de «reconocimiento», donde los atacantes verifican que la cuenta objetivo esté activa, lo que puede ocurrir hasta 15 días antes del intento real de phishing. Posteriormente, la víctima recibe un mensaje disfrazado de factura, documento compartido o invitación de calendario, que la incita a entrar en un sitio que solicita un código de dispositivo a Microsoft. Este código, aunque parece legítimo, pertenece a la sesión del atacante, permitiendo que la víctima, sin saberlo, autorice el acceso a su cuenta.
Lo que hace a EvilTokens particularmente peligroso es el hecho de que los ataques no requieren imitar páginas de inicio de sesión. Como Microsoft ve un flujo de autenticación válido, es difícil para sus sistemas detectar la actividad sospechosa. A pesar de las advertencias que la plataforma proporciona a los usuarios, como no ingresar códigos de fuentes no confiables, los atacantes imitan con eficacia las solicitudes, engañando a las víctimas para que sigan adelante con el proceso.
Los expertos aconsejan estar alerta ante cualquier solicitud inesperada de un código de autenticación. Es importante que los usuarios verifiquen la autenticidad de la fuente antes de proporcionar cualquier tipo de información, y que las organizaciones implementen políticas de acceso condicional para bloquear el flujo de código de dispositivo cuando no sea necesario. Además, se enfatiza la importancia de la capacitación en concienciación de seguridad para que los empleados comprendan los nuevos métodos de phishing.
EvilTokens destaca que las estrategias de los atacantes están evolucionando y que, en ocasiones, no requieren métodos agresivos o tecnologías avanzadas, sino simplemente persuadir a los individuos a abrir la puerta de sus cuentas.
Fuente: WeLiveSecurity by eSet.
