Netcrook Logo
👤 CRYSTALPROXY
🗓️ 25 Mar 2026   🌍 North America

Dentro de la Máquina EvilTokens: Cómo el Phishing con Códigos de Dispositivo Está Saqueando Cuentas de Microsoft 365 en Todo el Mundo

Un esquema de phishing como servicio en rápida evolución secuestra la confianza en Microsoft, atacando a cientos de organizaciones con abuso de OAuth y redirecciones sigilosas.

Todo comienza con un correo electrónico que parece una solicitud rutinaria de negocios: una notificación de DocuSign, una alerta de buzón de voz o quizás una oferta urgente para un proyecto de construcción. Pero detrás de esa apariencia de legitimidad se esconde una sofisticada operación de phishing con códigos de dispositivo, que ahora se extiende por cinco países y ha comprometido a más de 340 organizaciones de Microsoft 365. Lo que hace que esta campaña sea especialmente insidiosa es su astucia técnica: los atacantes han convertido en armas servicios en la nube confiables y protocolos OAuth, eludiendo incluso a los equipos de TI más atentos.

Datos Rápidos

  • Más de 340 organizaciones de Microsoft 365 atacadas en EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.
  • Los atacantes abusan de los flujos de autorización de dispositivos OAuth, utilizando tokens de acceso que sobreviven incluso a los cambios de contraseña.
  • Los correos de phishing disfrazan enlaces maliciosos mediante redirecciones desde proveedores de seguridad y servicios en la nube confiables.
  • La plataforma de phishing como servicio EvilTokens impulsa gran parte de la campaña, ofreciendo automatización y soporte al cliente.
  • La mayoría de los ataques se rastrean hasta unas pocas direcciones IP de Railway.com y la infraestructura de Cloudflare Workers.

Cómo Funciona el Motor de Phishing con Código de Dispositivo

Detectada por primera vez por Huntress en febrero de 2026, esta campaña aprovecha una debilidad poco conocida en el flujo de código de dispositivo de OAuth. Los atacantes solicitan un código de dispositivo a la API legítima de Microsoft y luego elaboran correos electrónicos que instan a las víctimas a ingresar ese código en la página oficial “microsoft.com/devicelogin”. Una vez que el usuario accede - proporcionando credenciales e incluso autenticación de dos factores - el atacante obtiene tokens de acceso y de actualización. De manera crítica, estos tokens siguen siendo válidos incluso si la víctima cambia su contraseña posteriormente.

Pero la artimaña técnica no termina ahí. El recorrido del phishing está oculto tras un laberinto de redirecciones: enlaces de proveedores de seguridad (como Cisco, Trend Micro, Mimecast), sitios web comprometidos, Cloudflare Workers y Vercel, todo diseñado para evadir filtros de spam y escaneos de contenido web. Las víctimas llegan a páginas que generan y muestran automáticamente el código de dispositivo, haciendo que el ataque sea fluido y creíble.

Detrás de escena, los atacantes utilizan la infraestructura de plataforma como servicio de Railway.com para recolectar credenciales a gran escala. La plataforma EvilTokens - publicitada en Telegram - proporciona a sus clientes herramientas para enviar correos de phishing, evadir filtros de spam y generar redirecciones abiertas. Incluso presume de soporte 24/7 y un canal de retroalimentación para clientes, lo que subraya la profesionalización del cibercrimen.

Para frustrar aún más a los defensores, algunas páginas de phishing despliegan técnicas anti-análisis: deshabilitan el clic derecho, bloquean herramientas de desarrollador y detectan intentos de inspección. Esta sofisticación dificulta que los equipos de seguridad investiguen y neutralicen las amenazas en tiempo real.

¿Qué Está en Juego y Qué Sigue?

Los sectores afectados son tan diversos como vitales: construcción, finanzas, salud, legal, bienes raíces, organizaciones sin fines de lucro y gobierno. El uso de infraestructura legítima de Microsoft por parte de los atacantes significa que incluso los usuarios precavidos pueden no sospechar nada hasta que es demasiado tarde. Con grupos como APT29 y Storm-2372 vinculados a tácticas similares, el riesgo para las organizaciones no hace más que aumentar.

Expertos en seguridad instan a las organizaciones a monitorear los registros de inicio de sesión en busca de IPs sospechosas de Railway, revocar todos los tokens de actualización de las cuentas afectadas y bloquear intentos de autenticación desde infraestructuras de riesgo. A medida que evolucionan las plataformas de phishing como servicio, la línea entre los cibercriminales y el IT empresarial se vuelve cada vez más difusa - y es probable que la próxima ola de ataques ya esté en marcha.

WIKICROOK

  • OAuth: OAuth es un protocolo que permite a los usuarios dar acceso a sus cuentas a aplicaciones sin compartir contraseñas, mejorando la seguridad pero también presentando algunos riesgos.
  • Phishing con Código de Dispositivo: El phishing con código de dispositivo engaña a los usuarios para que ingresen códigos proporcionados por atacantes en páginas de inicio de sesión reales, permitiendo la toma de control de cuentas sin robar contraseñas.
  • Phishing: El phishing es un ciberdelito en el que los atacantes envían mensajes falsos para engañar a los usuarios y que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Token de Actualización: Un token de actualización es un código seguro que permite a las aplicaciones obtener nuevos tokens de acceso automáticamente, manteniéndote conectado sin tener que iniciar sesión repetidamente.
  • Cloudflare Workers: Cloudflare Workers permite a los desarrolladores ejecutar código en la red de Cloudflare, automatizando funciones de sitios web sin necesidad de servidores propios.
Phishing Microsoft 365 OAuth
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news