{"id":366,"date":"2026-03-25T17:14:46","date_gmt":"2026-03-25T17:14:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/25\/el-phishing-de-codigos-de-dispositivos-afecta-a-mas-de-340-organizaciones-de-microsoft-365-en-cinco-paises-a-traves-del-abuso-de-oauth\/"},"modified":"2026-03-25T17:14:46","modified_gmt":"2026-03-25T17:14:46","slug":"el-phishing-de-codigos-de-dispositivos-afecta-a-mas-de-340-organizaciones-de-microsoft-365-en-cinco-paises-a-traves-del-abuso-de-oauth","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/25\/el-phishing-de-codigos-de-dispositivos-afecta-a-mas-de-340-organizaciones-de-microsoft-365-en-cinco-paises-a-traves-del-abuso-de-oauth\/","title":{"rendered":"El phishing de c\u00f3digos de dispositivos afecta a m\u00e1s de 340 organizaciones de Microsoft 365 en cinco pa\u00edses a trav\u00e9s del abuso de OAuth"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una campa\u00f1a activa de phishing de c\u00f3digos de dispositivos dirigida a identidades de Microsoft 365 en m\u00e1s de 340 organizaciones en EE. UU., Canad\u00e1, Australia, Nueva Zelanda y Alemania.<\/p>\n<p>La actividad, seg\u00fan Huntress, fue <a href=\"https:\/\/www.huntress.com\/blog\/railway-paas-m365-token-replay-campaign\" rel=\"noopener\" target=\"_blank\">visto por primera vez<\/a> el 19 de febrero de 2026, y desde entonces los casos posteriores han aparecido a un ritmo acelerado. En particular, la campa\u00f1a aprovecha las redirecciones de Cloudflare Workers con sesiones capturadas redirigidas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, convirti\u00e9ndola efectivamente en un motor de recolecci\u00f3n de credenciales.<\/p>\n<p>La construcci\u00f3n, las organizaciones sin fines de lucro, el sector inmobiliario, la manufactura, los servicios financieros, la atenci\u00f3n m\u00e9dica, el sector legal y el gobierno son algunos de los sectores destacados a los que se dirige la campa\u00f1a. <\/p>\n<p>\u00abLo que tambi\u00e9n hace que esta campa\u00f1a sea inusual no son s\u00f3lo las t\u00e9cnicas de phishing del c\u00f3digo del dispositivo involucradas, sino la variedad de t\u00e9cnicas observadas\u00bb, dijo la compa\u00f1\u00eda. \u00abLas ofertas de construcci\u00f3n, la generaci\u00f3n de c\u00f3digos de p\u00e1ginas de destino, la suplantaci\u00f3n de DocuSign, las notificaciones de correo de voz y el abuso de las p\u00e1ginas de Microsoft Forms est\u00e1n afectando al mismo grupo de v\u00edctimas a trav\u00e9s de la misma infraestructura IP de Railway.com\u00bb.<\/p>\n<p>El phishing de c\u00f3digo de dispositivo se refiere a una t\u00e9cnica que explota el <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity-platform\/v2-oauth2-device-code\" rel=\"noopener\" target=\"_blank\">Flujo de autorizaci\u00f3n de dispositivos OAuth<\/a> para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar el control de las cuentas de las v\u00edctimas. Lo importante de este m\u00e9todo de ataque es que los tokens siguen siendo v\u00e1lidos incluso despu\u00e9s de que se restablezca la contrase\u00f1a de la cuenta.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>A un alto nivel, el <a href=\"https:\/\/www.huntress.com\/blog\/oh-auth-2-0-device-code-phishing-in-google-cloud-and-azure\" rel=\"noopener\" target=\"_blank\">ataque<\/a> funciona de la siguiente manera \u2013<\/p>\n<ul>\n<li>El actor de amenazas solicita un c\u00f3digo de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a trav\u00e9s de la API de c\u00f3digo de dispositivo leg\u00edtimo.<\/li>\n<li>El servicio responde con un c\u00f3digo de dispositivo.<\/li>\n<li>El actor de amenazas crea un correo electr\u00f3nico persuasivo y lo env\u00eda a la v\u00edctima, inst\u00e1ndola a visitar una p\u00e1gina de inicio de sesi\u00f3n (\u00abmicrosoft[.]com\/devicelogin\u00bb) e ingrese el c\u00f3digo del dispositivo.<\/li>\n<li>Despu\u00e9s de que la v\u00edctima ingresa el c\u00f3digo proporcionado, junto con sus credenciales y el c\u00f3digo de autenticaci\u00f3n de dos factores (2FA), el servicio crea un token de acceso y un token de actualizaci\u00f3n para el usuario.<\/li>\n<\/ul>\n<p>\u00abUna vez que el usuario ha sido v\u00edctima del phishing, su autenticaci\u00f3n genera un conjunto de tokens que ahora residen en el punto final de la API del token OAuth y se pueden recuperar proporcionando el c\u00f3digo de dispositivo correcto\u00bb, explic\u00f3 Huntress. \u00abEl atacante, por supuesto, conoce el c\u00f3digo del dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesi\u00f3n del c\u00f3digo del dispositivo\u00bb.<\/p>\n<p>\u00abY aunque ese c\u00f3digo es in\u00fatil por s\u00ed solo, una vez que se ha enga\u00f1ado a la v\u00edctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qu\u00e9 c\u00f3digo de dispositivo se utiliz\u00f3 en la solicitud original\u00bb.<\/p>\n<p>El uso de phishing de c\u00f3digo de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. A estos ataques se les han atribuido m\u00faltiples grupos alineados con Rusia, identificados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.<\/p>\n<p>La t\u00e9cnica es insidiosa, sobre todo porque aprovecha la infraestructura leg\u00edtima de Microsoft para realizar el flujo de autenticaci\u00f3n del c\u00f3digo del dispositivo, sin dar as\u00ed a los usuarios motivos para sospechar que algo podr\u00eda estar mal.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjuLn4vcy3nzM1vjAMcP7c_6MVrS7QlVg4yp_IRBiqYeTMmPU-dV_5K-l1s7y7CNsLoBn4RFX1VzGNhEvN6tIDGlYho3j2Nk6PxVipVh7j6XyK95P_IEDlbRQvohTRwm4Zka4WRRJB_el9nej0Vtet1HaFVKDLHid_h1noaszAVvKRmQ97x-CbYW83i0_E\/s1700-e365\/phish.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjuLn4vcy3nzM1vjAMcP7c_6MVrS7QlVg4yp_IRBiqYeTMmPU-dV_5K-l1s7y7CNsLoBn4RFX1VzGNhEvN6tIDGlYho3j2Nk6PxVipVh7j6XyK95P_IEDlbRQvohTRwm4Zka4WRRJB_el9nej0Vtet1HaFVKDLHid_h1noaszAVvKRmQ97x-CbYW83i0_E\/s1700-e365\/phish.jpg\" alt=\"\" border=\"0\" data-original-height=\"855\" data-original-width=\"1285\"\/><\/a><\/div>\n<p>En la campa\u00f1a detectada por Huntress, el abuso de autenticaci\u00f3n se origina en un peque\u00f1o grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados.<\/p>\n<ul>\n<li>162.220.234[.]41<\/li>\n<li>162.220.234[.]66 <\/li>\n<li>162.220.232[.]57<\/li>\n<li>162.220.232[.]99<\/li>\n<li>162.220.232[.]235<\/li>\n<\/ul>\n<p>El punto de partida del ataque es un correo electr\u00f3nico de phishing que envuelve URL maliciosas dentro de archivos leg\u00edtimos. <a href=\"https:\/\/www.levelblue.com\/blogs\/spiderlabs-blog\/weaponizing-safe-links-abuse-of-multi-layered-url-rewriting-in-phishing-attacks\" rel=\"noopener\" target=\"_blank\">servicios de redireccionamiento de proveedores de seguridad<\/a> de Cisco, Trend Micro y Mimecast para evitar los filtros de spam y activar una cadena de redireccionamiento de m\u00faltiples saltos que presenta una combinaci\u00f3n de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la v\u00edctima al destino final.<\/p>\n<p>\u00abLos sitios de aterrizaje observados solicitan a la v\u00edctima que proceda al punto final de autenticaci\u00f3n del c\u00f3digo del dispositivo leg\u00edtimo de Microsoft e ingrese un c\u00f3digo proporcionado para leer algunos archivos\u00bb, dijo Huntress. \u00abEl c\u00f3digo se representa directamente en la p\u00e1gina cuando llega la v\u00edctima\u00bb.<\/p>\n<p>\u00abEsta es una iteraci\u00f3n interesante de la t\u00e1ctica, ya que, normalmente, el adversario debe producir y luego proporcionar el c\u00f3digo a la v\u00edctima. Al representar el c\u00f3digo directamente en la p\u00e1gina, probablemente mediante alguna automatizaci\u00f3n de generaci\u00f3n de c\u00f3digo, la v\u00edctima recibe inmediatamente el c\u00f3digo y el pretexto para el ataque\u00bb.<\/p>\n<p>La p\u00e1gina de inicio tambi\u00e9n incluye un mensaje \u00abContinuar con Microsoft\u00bb que, al hacer clic, muestra una ventana emergente que muestra el punto final de autenticaci\u00f3n leg\u00edtimo de Microsoft (\u00abmicrosoft[.]com\/devicelogin\u00bb).<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ciso-risk-comm-cert-li-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjoqpwvMkmQTpI6oFBcM5sjZJ4sJ2YplYYhb-ceY5aPYSXjkfcX-xHTDS-SMK3wzNy_kFuH4yN1umKPloMnloAmmRc5nXo64laMkM5neZzco95ZJXnRH-iV-6vAXRDv8vCSgWdcloM_rsNLykF6rlZbcXQ2n2fT-No23La_8rS67S8terJhozZU9JPmB9kO\/s728-e100\/ciso-light-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Casi todos los sitios de phishing de c\u00f3digos de dispositivos se han alojado en trabajadores de Cloudflare.[.]ejemplo de desarrollo, que ilustra c\u00f3mo los actores de amenazas est\u00e1n utilizando como arma la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesi\u00f3n para buscar inicios de sesi\u00f3n de IP ferroviaria, revocar todos los tokens de actualizaci\u00f3n para los usuarios afectados y bloquear los intentos de autenticaci\u00f3n desde la infraestructura ferroviaria si es posible.<\/p>\n<p>Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Adem\u00e1s de las herramientas publicitarias para enviar correos electr\u00f3nicos de phishing y evitar los filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de phishing.<\/p>\n<p>\u00abAdem\u00e1s del r\u00e1pido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24 horas al d\u00eda, 7 d\u00edas a la semana y un canal de comentarios de soporte\u00bb, dijo la compa\u00f1\u00eda. \u00abTambi\u00e9n tienen comentarios de los clientes\u00bb.<\/p>\n<p>La divulgaci\u00f3n se produce cuando la Unidad 42 de Palo Alto Networks tambi\u00e9n <a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2026-03-23-%20Device-Code-based-OAuth-Phishing.txt\" rel=\"noopener\" target=\"_blank\">prevenido<\/a> de una campa\u00f1a similar de phishing de c\u00f3digo de dispositivo, destacando el uso por parte del ataque de t\u00e9cnicas anti-bot y anti-an\u00e1lisis para pasar desapercibidas, mientras filtra cookies del navegador al actor de la amenaza al cargar la p\u00e1gina. La primera observaci\u00f3n de la campa\u00f1a se remonta al 18 de febrero de 2026.<\/p>\n<p>La p\u00e1gina de phishing \u00abdeshabilita la funcionalidad de hacer clic con el bot\u00f3n derecho, la selecci\u00f3n de texto y las operaciones de arrastre\u00bb, dijo la compa\u00f1\u00eda, y agreg\u00f3 que \u00abbloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I\/C\/J) y la visualizaci\u00f3n de fuentes (Ctrl+U)\u00bb y \u00abdetecta herramientas de desarrollo activas mediante la utilizaci\u00f3n de una heur\u00edstica del tama\u00f1o de la ventana, que posteriormente inicia un bucle de depuraci\u00f3n infinito\u00bb.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en <a href=\"https:\/\/news.google.com\/publications\/CAAqLQgKIidDQklTRndnTWFoTUtFWFJvWldoaFkydGxjbTVsZDNNdVkyOXRLQUFQAQ\" rel=\"noopener\" target=\"_blank\">noticias de google<\/a>, <a href=\"https:\/\/twitter.com\/thehackersnews\" rel=\"noopener\" target=\"_blank\">Gorjeo<\/a> y <a href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" rel=\"noopener\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una campa\u00f1a activa de phishing de c\u00f3digos de dispositivos dirigida a identidades de Microsoft 365 en m\u00e1s de 340 organizaciones en EE. UU., Canad\u00e1, Australia, Nueva Zelanda y Alemania. La actividad, seg\u00fan Huntress, fue visto por primera vez el 19 de febrero de 2026, y desde [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[358,1165,430,1276,70,694,98,50,360,389,381,365,76],"class_list":["post-366","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abuso","tag-afecta","tag-cinco","tag-codigos","tag-del","tag-dispositivos","tag-mas","tag-microsoft","tag-oauth","tag-organizaciones","tag-paises","tag-phishing","tag-traves"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/366","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=366"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/366\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=366"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=366"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=366"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}