Ilustración de un correo falso que imita a Microsoft, con un código de verificación que en realidad autoriza a un atacante a acceder a la cuenta mediante tokens OAuth.
Ilustración de un correo falso que imita a Microsoft, con un código de verificación que en realidad autoriza a un atacante a acceder a la cuenta mediante tokens OAuth.

Este método elude la autenticación multifactor, útil contexto para un colega que gestiona cuentas corporativas en la nube.

El FBI alerta de Kali365, la estafa que burla contraseñas con IA Flujo de la historia y datos clave

El FBI ha emitido una alerta sobre Kali365, una nueva plataforma de phishing como servicio que permite a ciberdelincuentes acceder a cuentas de Microsoft 365 sin necesidad de obtener contraseñas ni códigos de autenticación multifactor (MFA). En lugar de robar credenciales, Kali365 explota el sistema OAuth para capturar tokens de acceso y actualización que mantienen las sesiones activas. Los atacantes envían correos falsos que imitan servicios legítimos de Microsoft, instando a las víctimas a "verificar un dispositivo", lo que en realidad autoriza al atacante a acceder a su cuenta.

Este tipo de ataque representa una evolución peligrosa en las técnicas de phishing, ya que elimina la necesidad de interceptar contraseñas o superar la verificación en dos pasos. En su lugar, se aprovecha de un mecanismo de autorización legítimo, lo que dificulta su detección por parte de los usuarios y sistemas de seguridad. La plataforma, identificada en abril de 2026, está diseñada para ser accesible incluso a atacantes con pocos conocimientos técnicos, gracias a plantillas automatizadas, campañas generadas por IA y paneles de seguimiento en tiempo real.

La amenaza subraya la creciente sofisticación de los ciberataques que combinan inteligencia artificial con explotación de protocolos de autenticación. Aunque Microsoft no ha sido directamente vulnerada, el riesgo radica en cómo los usuarios interactúan con sus servicios. Las organizaciones deben reforzar la educación en seguridad digital y monitorear el uso de tokens OAuth. El FBI recomienda revisar regularmente los dispositivos y aplicaciones autorizados en las cuentas de Microsoft 365 para detectar accesos no reconocidos.

Datos clave

  • El FBI alertó en mayo de 2026 sobre Kali365, una nueva amenaza de phishing que secuestra cuentas de Microsoft 365 sin necesidad de contraseñas.
  • Kali365 roba tokens de inicio de sesión mediante el sistema OAuth, eludiendo la autenticación multifactor (MFA).
  • Los atacantes usan correos falsos que imitan servicios de Microsoft para engañar a las víctimas y que autoricen un dispositivo malicioso.
  • La plataforma permite a ciberdelincuentes con pocos conocimientos técnicos lanzar campañas automatizadas con apoyo de IA.
  • El acceso persiste incluso si el usuario cambia su contraseña, ya que se basa en tokens de sesión válidos.

Explicación visual de noticias de Canto. Las herramientas de IA pueden apoyar la producción. Política editorial