Ya no basta con revisar si un correo tiene faltas de ortografía o enlaces extraños, los ciberdelincuentes ahora usan páginas legítimas de Microsoft para robar accesos reales.
La nueva campaña llamada EvilTokens está poniendo en riesgo a empresas que usan Microsoft 365, incluso aquellas con autenticación multifactor (MFA), y aunque los primeros casos se detectaron en otros países, México no está fuera del radar.
El phishing evolucionó. Hoy los atacantes ya no necesitan robar contraseñas para entrar a una cuenta corporativa, ahora basta con convencer al usuario de autorizar el acceso por sí mismo.
Eso es precisamente lo que hace EvilTokens, una plataforma de Phishing as a Service (PhaaS) que aprovecha funciones legítimas de Microsoft para obtener sesiones válidas y acceder a correos, archivos y plataformas empresariales sin levantar sospechas.
¿Qué hace diferente a EvilTokens?
A diferencia del phishing tradicional, aquí no existe una página falsa ni un sitio clonado.
La víctima entra directamente a un portal legítimo de Microsoft, ve un dominio real y completa un proceso de autenticación completamente válido. El problema es que, sin darse cuenta, está autorizando una sesión controlada por el atacante.
En otras palabras: el usuario entrega acceso legítimo sin haber compartido su contraseña.
Esta técnica aprovecha el flujo OAuth Device Code de Microsoft, diseñado originalmente para iniciar sesión en dispositivos como Smart TVs, impresoras o equipos IoT.
Así funciona el ataque.
El ataque suele comenzar con un correo aparentemente normal:
-
“Tienes un documento pendiente”.
-
“Se requiere validar tu cuenta”.
-
“Firma requerida”.
-
“Nuevo acceso corporativo”.
El mensaje incluye un enlace que dirige al portal oficial de Microsoft. Ahí, el usuario debe ingresar un código temporal.
Lo peligroso es que ese código fue generado previamente por el atacante y está ligado a una sesión que él controla. Cuando la víctima lo introduce y aprueba el MFA, Microsoft entrega tokens legítimos, pero directamente al ciberdelincuente.
El resultado es preocupante:
-
Acceso al correo corporativo.
-
Robo de documentos internos.
-
Acceso a Teams y SharePoint.
-
Posibilidad de fraudes BEC (Business Email Compromise).
-
Persistencia incluso después de cambiar la contraseña.
¿Por qué esto es importante para México?
México se ha convertido en uno de los países más atacados de Latinoamérica en campañas de phishing y robo de identidad digital.
De acuerdo con distintos reportes de ciberseguridad publicados durante los últimos años, las empresas mexicanas siguen siendo vulnerables por tres factores principales:
-
Uso masivo de Microsoft 365 en entornos corporativos.
-
Baja capacitación en ciberseguridad para colaboradores.
-
Dependencia del correo electrónico para procesos financieros y administrativos.
Sectores como manufactura, logística, retail, gobierno y servicios financieros son especialmente atractivos para este tipo de ataques, ya que manejan pagos, facturación y acceso a información sensible.
Además, muchas empresas en México creen que tener MFA es suficiente protección. EvilTokens demuestra que eso ya no basta si los usuarios autorizan accesos sin verificar qué están aprobando.
El gran problema: el MFA ya no es garantía total.
Uno de los puntos más peligrosos de EvilTokens es que no “rompe” el MFA, lo utiliza. El usuario sí recibe la notificación de autenticación y sí la aprueba conscientemente, pero lo hace creyendo que es parte de un proceso legítimo.
Eso vuelve mucho más difícil detectar el ataque tanto para los usuarios como para algunos sistemas de seguridad tradicionales.
Incluso investigadores de Microsoft alertaron que estas campañas ya muestran automatización avanzada e incluso apoyo de inteligencia artificial para generar mensajes más convincentes y operar a gran escala.
¿Cómo pueden protegerse las empresas mexicanas?
Aunque la amenaza es sofisticada, existen medidas que ayudan a reducir el riesgo:
1. Capacitar constantemente a los usuarios.
Hoy el eslabón más importante sigue siendo el factor humano. Los colaboradores deben entender que ningún sistema legítimo debería pedir códigos inesperados sin contexto claro.
2. Revisar accesos y sesiones activas.
Es importante monitorear dispositivos autenticados y cerrar sesiones sospechosas dentro de Microsoft 365.
3. Limitar el uso de Device Code Flow.
Muchas organizaciones pueden deshabilitar este método de autenticación si no lo necesitan operativamente.
4. Implementar monitoreo de OAuth y tokens.
Los equipos de TI deben vigilar autorizaciones sospechosas y aplicaciones desconocidas conectadas a Microsoft 365.
5. Fortalecer políticas de Zero Trust.
La autenticación ya no debe considerarse suficiente. También es necesario validar comportamiento, ubicación, dispositivo y contexto.
El phishing moderno ya no parece phishing.
EvilTokens deja claro que los ataques actuales son mucho más sofisticados que hace algunos años. Ahora los delincuentes usan infraestructura legítima, procesos reales y técnicas que hacen casi imposible distinguir un acceso normal de uno malicioso.
Por eso, la mejor defensa ya no depende únicamente de la tecnología. También requiere usuarios informados, monitoreo constante y estrategias de seguridad adaptadas a las nuevas amenazas. Porque hoy, incluso una página real de Microsoft podría formar parte del ataque.
Fuente web: https://www.welivesecurity.com/es/cibercrimen/eviltokens-phishing-roba-accesos-legitimo-microsoft/
