Portada »
🕒 Lectura estimada: 7 min
El FBI alerta sobre Kali365, una nueva estafa de phishing que puede robar acceso a cuentas de Microsoft 365, incluyendo Outlook, Teams y OneDrive, sin pedir contraseña
El FBI lanzó una advertencia que debería preocupar a cualquiera que use Microsoft 365…. La alerta apunta a Kali365, una plataforma de phishing como servicio que permite a ciberdelincuentes tomar el control de cuentas de Microsoft sin necesidad de robar directamente la contraseña.
El truco es más peligroso porque usa una página real de Microsoft.
En vez de enviarte a un sitio falso lleno de errores raros, los atacantes pueden convencerte de ingresar un código de dispositivo en una página legítima de verificación. Y cuando lo haces, sin darte cuenta, estás autorizando el acceso del atacante a tu cuenta.
El resultado puede ser grave: acceso a Outlook, Teams, OneDrive y otros servicios conectados a Microsoft 365.
Kali365 es una herramienta de phishing como servicio, también conocida como PhaaS.
Eso significa que los delincuentes no tienen que crear toda la infraestructura desde cero. Pueden pagar por una plataforma ya lista para lanzar ataques, generar mensajes falsos, monitorear víctimas y capturar tokens de acceso.
Según la alerta del FBI publicada por el IC3, Kali365 permite robar tokens OAuth de Microsoft 365. Estos tokens funcionan como permisos temporales o persistentes que autorizan el acceso a una cuenta sin tener que introducir la contraseña una y otra vez.
Ahí está el problema.
Si el atacante obtiene esos tokens, puede entrar a servicios como Outlook, Teams y OneDrive sin necesitar la clave de la víctima ni superar otro reto de autenticación multifactor.
La técnica se aprovecha del inicio de sesión con código de dispositivo.
Este sistema existe para casos legítimos, por ejemplo cuando quieres iniciar sesión en un dispositivo con teclado limitado, como una consola, un televisor o ciertos equipos empresariales.
El usuario recibe un código, entra a una página oficial de Microsoft y lo introduce para autorizar el dispositivo.
Kali365 manipula ese flujo.
El atacante inicia el proceso desde su lado, obtiene un código y luego engaña a la víctima para que lo ingrese en la página real de Microsoft. Como el sitio es auténtico, muchas personas bajan la guardia.
El detalle es que el código no autoriza el equipo de la víctima.
Autoriza el equipo del atacante.
La autenticación multifactor sigue siendo una medida importante. El problema es que este ataque no intenta romperla directamente.
La rodea.
Si el usuario introduce el código y completa el proceso en la página oficial, está aprobando una sesión válida. Desde ese momento, el atacante puede capturar tokens de acceso y mantener entrada a la cuenta.
Por eso esta amenaza es tan incómoda: no se parece al phishing clásico donde el usuario escribe su contraseña en una web falsa.
Aquí la víctima puede estar en una página legítima de Microsoft y aun así terminar entregando acceso.
Aveces el sitio puede ser real, pero la intención detrás del código no.
El FBI menciona Microsoft 365, lo que incluye servicios ampliamente usados por empresas, colegios, universidades y usuarios particulares.
Los más sensibles son Outlook, Teams y OneDrive.
Si un atacante entra a Outlook, puede leer correos, buscar facturas, documentos internos, enlaces de recuperación de contraseña y conversaciones sensibles.
Si accede a Teams, puede suplantar a la víctima dentro de una organización, enviar mensajes maliciosos o hacerse pasar por un compañero.
Y si entra a OneDrive, puede revisar, copiar o modificar archivos almacenados en la nube.
En empresas, el impacto puede ser todavía mayor, porque una cuenta comprometida puede servir como puerta de entrada para atacar a más personas dentro de la misma organización.
La señal más importante es esta: nunca debes introducir un código de dispositivo si tú no iniciaste el proceso.
Si recibes un correo, mensaje de Teams, SMS o chat que te pide entrar a una página de Microsoft e introducir un código inesperado, desconfía.
También hay que tener cuidado con mensajes urgentes del tipo “tu cuenta será suspendida”, “tienes un documento pendiente”, “revisa este archivo compartido” o “valida tu acceso ahora”.
Los atacantes suelen jugar con la prisa.
Quieren que actúes antes de pensar.
El FBI recomienda no interactuar con enlaces o códigos no solicitados, revisar actividad sospechosa y reportar incidentes al IC3 si hay señales de compromiso.
Para usuarios comunes, lo básico es revisar sesiones activas, dispositivos conectados y cambios extraños en la cuenta.
Para empresas, la recomendación va más allá: auditar el uso del flujo de código de dispositivo, aplicar políticas de acceso condicional, monitorear eventos de autenticación sospechosos y educar a los empleados para detectar este tipo de engaños.
Una lista corta de acciones útiles sería:
Durante años nos dijeron que revisáramos si una página era legítima, si tenía HTTPS o si el dominio era correcto.
Eso sigue siendo útil, pero ya no basta.
En ataques como Kali365, el sitio puede ser real. La trampa está en el contexto: el usuario está introduciendo un código que no pidió y autorizando una sesión que no controla.
Es un cambio importante en la forma de pensar la seguridad digital.
Ya no se trata solo de preguntar “¿esta página es falsa?”. También hay que preguntar “¿por qué me están pidiendo hacer esto?”.
La razón por la que estos ataques apuntan a Microsoft 365 es simple: está en todas partes.
Empresas, instituciones educativas, gobiernos y millones de usuarios usan Outlook, Teams, OneDrive, SharePoint y otros servicios de Microsoft todos los días.
Eso convierte a una cuenta de Microsoft 365 en una llave muy valiosa.
No solo da acceso al correo. También puede abrir documentos, chats, calendarios, contactos, archivos compartidos y sistemas internos conectados.
Para los ciberdelincuentes, robar una cuenta así puede ser más útil que robar una contraseña aislada.
La advertencia del FBI muestra cómo está evolucionando el phishing.
Kali365 no necesita convencerte de escribir tu contraseña en una página falsa. Le basta con engañarte para introducir un código real en una página real de Microsoft.
Ese pequeño gesto puede dar acceso a Outlook, Teams, OneDrive y otros servicios de Microsoft 365.
La lección es clara: si no pediste un código, no lo uses.
La seguridad digital ya no depende solo de tener una buena contraseña o activar MFA. También depende de entender cuándo una solicitud, aunque parezca legítima, simplemente no debería estar ahí.
james
Recibe noticias, análisis y contenido geek directo en tu bandeja.
Deja tu comentario