Noticias, Estafas

El kit de phishing Kali365 elude la autenticación de dos factores y roba credenciales de Microsoft

por Pieter Arntz | 27 de mayo de 2026
phishing a gran escala

Cuando el FBI (Oficina Federal de Investigación) publica un comunicado específico de interés público sobre un nuevo kit de phishing, conviene prestarle atención.

La agencia advierte ahora sobre «Kali365», una plataforma de phishing como servicio (PhaaS) que permite incluso a los atacantes con pocos conocimientos secuestrar cuentas de Microsoft 365 mediante el robo de tokens de acceso en lugar de contraseñas.

Aunque los primeros informes se centran en los ataques contra organizaciones, la técnica subyacente funciona con la misma facilidad contra usuarios individuales de Microsoft 365 a los que se engaña para que introduzcan un código corto en un sitio web auténtico de Microsoft. En otras palabras, no se trata solo de un problema para las empresas o los departamentos de TI. Podría afectar a cualquier persona con una suscripción a Outlook, OneDrive o Microsoft 365.

Para los ciberdelincuentes que utilizan este kit, ofrece tres ventajas claras:

  • Elude la autenticación multifactorial (MFA) robando los tokens de acceso, por lo que los códigos adicionales o las aplicaciones ya no sirven de nada una vez que el token se ve comprometido.
  • Kali365 proporciona acceso continuo. Los atacantes pueden seguir utilizando Outlook, Teams y OneDrive sin tener que iniciar sesión repetidamente, siempre y cuando el token de actualización robado siga siendo válido.
  • No se requieren grandes conocimientos técnicos. Los ciberdelincuentes pueden suscribirse a Kali365 y poner en marcha de inmediato campañas de robo de credenciales a gran escala.

¿Cómo es el ataque?

Las víctimas reciben un mensaje de phishing que parece proceder de un servicio en la nube o una herramienta de colaboración, como una notificación para compartir un documento o Teams . El mensaje incluye un breve «código de dispositivo» e instrucciones del tipo: «Ve a la página de verificación de Microsoft e introduce este código para ver el documento».

¿Estafa o es de fiar? Scam Guard lo sabe.

A diferencia de muchos correos electrónicos de phishing, este te redirige a una URL auténtica de Microsoft que se utiliza para los procesos de inicio de sesión en dispositivos. Para el usuario, la página resulta familiar y parece totalmente legítima, lo que hace que no levante sospechas.

Las víctimas ven entonces las pantallas habituales de inicio de sesión y consentimiento de Microsoft, y pueden pensar que simplemente están completando un control de seguridad normal. Nunca ven una página falsa, nunca introducen su contraseña en un formulario sospechoso e incluso pueden ver la imagen de marca de su organización.

Pero lo que no se dan cuenta es que le han dado acceso al atacante.

Una vez que la víctima aprueba la solicitud, el dispositivo del atacante recibe tokens de acceso y de actualización de OAuth vinculados a la cuenta de Microsoft 365 de la víctima. Estos tokens son los que utiliza Microsoft para «recordar» que ya has iniciado sesión, y pueden reutilizarse para acceder a Outlook, OneDrive, Teams y otros servicios de Microsoft sin necesidad de volver a introducir la contraseña.

Con tokens de actualización válidos, los atacantes pueden mantener el acceso a largo plazo hasta que los tokens sean revocados o caduquen, camuflándose a menudo entre la actividad normal de la cuenta.

Ese acceso puede permitir a los ciberdelincuentes:

  • Leer los correos electrónicos de Outlook, incluidos los mensajes de restablecimiento de contraseña
  • Acceder a los archivos almacenados en OneDrive o SharePoint
  • Enviar correos electrónicos de phishing a compañeros de trabajo, clientes, amigos o familiares desde la cuenta de la víctima

Cómo protegerse

Una vez dentro de Outlook, los atacantes no solo pueden leer tus mensajes, sino también enviar otros nuevos que parezcan auténticos desde tu dirección, utilizando tu identidad para comprometer otras cuentas y contactos.

Algunos consejos para evitarlo:

  • Nunca introduzcas un código en una página de inicio de sesión de Microsoft solo porque te lo indique un correo electrónico o un mensaje. Solo debes hacerlo cuando seas tú mismo quien haya iniciado el proceso de inicio de sesión en tu propio dispositivo.
  • Tómate tu tiempo y lee las instrucciones. Apresurarse al aprobar los inicios de sesión sin leerlos con atención puede salirte caro.
  • Desconfía de los documentos compartidos inesperados, Teams o las solicitudes de inicio de sesión, incluso si utilizan páginas legítimas de Microsoft.
  • Comprueba qué dispositivos han iniciado sesión en tu cuenta en https://account.microsoft.com/devices/. Si ves dispositivos o sesiones de inicio de sesión que no reconoces, elimínalos, cambia la contraseña de tu cuenta de Microsoft y revisa tu configuración de seguridad.

Consejo de experto: Malwarebytes Guardpuede ayudarte a determinar si un mensaje es una estafa.

Seamos realistas, una ventana de incógnito tiene sus limitaciones.

Filtraciones de datos, comercio en la dark web, fraude crediticio. Malwarebytes Identity Theft supervisa todo ello, te avisa rápidamente y incluye un seguro contra el robo de identidad. 

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
El teléfono está sobre la mesa

La empresa se jactaba de que los micrófonos de los teléfonos podían escuchar las conversaciones. Pero no era así.

Mayo 27, 2026

Cox Media afirmó que podía espiar a los usuarios a través de sus dispositivos y utilizar esa información para publicidad personalizada, pero no era cierto.

Privacidad
LinkedIn

LinkedIn falsos LinkedIn utilizan Adobe para rastrear a las víctimas

Mayo 27, 2026

Los phishers están robando LinkedIn mientras hacen un uso indebido de Adobe Target para rastrear a las víctimas y redirigirlas a LinkedIn auténticas LinkedIn .

Bichos
ClickFix imita a Windows

Más de 700 sitios web dedicados a la educación y la tecnología han sido secuestrados en una gran campaña de malware denominada «ClickFix»

Mayo 26, 2026

Hackers aprovechando una vulnerabilidad en un sitio web que utiliza el CMS Ghost para mostrar páginas de verificación falsas de Cloudflare con el fin de presionar a los usuarios para que infecten sus propios ordenadores.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas