{"id":964,"date":"2026-05-22T21:03:06","date_gmt":"2026-05-22T21:03:06","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/22\/el-fbi-advierte-sobre-un-kit-de-phishing-de-rapido-crecimiento-dirigido-a-usuarios-de-microsoft-365\/"},"modified":"2026-05-22T21:03:06","modified_gmt":"2026-05-22T21:03:06","slug":"el-fbi-advierte-sobre-un-kit-de-phishing-de-rapido-crecimiento-dirigido-a-usuarios-de-microsoft-365","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/22\/el-fbi-advierte-sobre-un-kit-de-phishing-de-rapido-crecimiento-dirigido-a-usuarios-de-microsoft-365\/","title":{"rendered":"El FBI advierte sobre un kit de phishing de r\u00e1pido crecimiento dirigido a usuarios de Microsoft 365"},"content":{"rendered":"
\n

El FBI advierte a las organizaciones y defensores sobre Kali365, una creciente plataforma de phishing como servicio que recupera tokens de acceso a Microsoft 365, emitiendo un anuncio de servicio publico<\/a> Jueves. <\/p>\n

El conjunto de herramientas evita la autenticaci\u00f3n multifactor y abusa de las autorizaciones de c\u00f3digo de dispositivo OAuth mediante se\u00f1uelos de phishing que se hacen pasar por servicios empresariales comunes. Esta t\u00e9cnica otorga a las aplicaciones controladas por ciberdelincuentes acceso a cuentas de Microsoft 365, lo que abre a las v\u00edctimas a una serie de actividades maliciosas posteriores, que incluyen robo de datos, fraude, extorsi\u00f3n y ataques de ransomware.<\/p>\n

Kali365 es una de las muchas herramientas de phishing de c\u00f3digos de dispositivos que est\u00e1n surgiendo r\u00e1pidamente y que est\u00e1n ganando popularidad como un medio m\u00e1s eficaz para que los ciberdelincuentes eludan los controles de seguridad mientras abusan de las p\u00e1ginas leg\u00edtimas de autorizaci\u00f3n de dispositivos de Microsoft, seg\u00fan los investigadores. <\/p>\n

En lugar de obtener acceso a cuentas mediante kits de phishing que roban credenciales y c\u00f3digos de autenticaci\u00f3n de segundo factor, las plataformas de phishing con c\u00f3digo de dispositivo conectan una aplicaci\u00f3n maliciosa a una cuenta leg\u00edtima con un \u00fanico c\u00f3digo. El proceso requiere menos pasos y menos interacci\u00f3n con el usuario, pero las v\u00edctimas deben copiar y pegar un c\u00f3digo generado por la plataforma Kali365 para otorgar acceso.<\/p>\n

\u00abVemos bastante de esta actividad de phishing de c\u00f3digo de dispositivo, pero gran parte parece muy similar. Todos utilizan los mismos tipos de se\u00f1uelos, los mismos tipos de contenido, la misma marca\u00bb, dijo a CyberScoop Selena Larson, investigadora senior de amenazas en Proofpoint. \u00abEs en gran medida generado por la IA, impulsado por la IA, y creo que los actores de amenazas lo encuentran bastante efectivo porque estamos viendo que este cambio ocurre de una vez\u00bb.<\/p>\n

Los investigadores de Proofpoint observaron siete herramientas de phishing de c\u00f3digos de dispositivos que parec\u00eda casi id\u00e9ntico<\/a> durante un per\u00edodo de 10 d\u00edas el mes pasado.<\/p>\n

El phishing de c\u00f3digo de dispositivo no es nuevo, pero plataformas como Kali365 han integrado nuevas t\u00e9cnicas que difieren del phishing MFA y, como resultado, podr\u00edan ser m\u00e1s efectivas. \u00abEs algo a lo que la gente quiz\u00e1s no est\u00e9 acostumbrada. Es un poco m\u00e1s elegante\u00bb, dijo Larson.<\/p>\n

Esto tambi\u00e9n explica en parte por qu\u00e9 estas herramientas cibercriminales est\u00e1n creciendo tan r\u00e1pidamente. Larson dijo que Proofpoint observ\u00f3 una explosi\u00f3n en la actividad de phishing de c\u00f3digos de dispositivos a partir de febrero. <\/p>\n

En abril, Kali365 estaba en funcionamiento y se distribu\u00eda principalmente en Telegram, seg\u00fan el FBI. \u00abKali365 reduce la barrera de entrada, brindando a los atacantes menos t\u00e9cnicos acceso a se\u00f1uelos de phishing generados por IA, plantillas de campa\u00f1a automatizadas, paneles de seguimiento de individuos\/entidades espec\u00edficos en tiempo real y capacidades de captura de tokens OAuth\u00bb, dijo la agencia en la advertencia p\u00fablica. <\/p>\n

Investigadores de Arctic Wolf Labs, que tambi\u00e9n ha estado rastreando campa\u00f1as a gran escala vinculadas a Kali365<\/a>dijo que la plataforma cobra a los afiliados 250 d\u00f3lares por 30 d\u00edas de servicio o 2.000 d\u00f3lares por un a\u00f1o completo.<\/p>\n

Kali365 almacena los tokens de actualizaci\u00f3n y acceso de OAuth que captura y los pone a disposici\u00f3n de los afiliados en su plataforma. Esos tokens tambi\u00e9n pueden ser compartidos y reutilizados por otros ciberdelincuentes que no participaron en el se\u00f1uelo de phishing inicial, agregaron los investigadores de Arctic Wolf. <\/p>\n

El FBI tambi\u00e9n se\u00f1al\u00f3 que estos tokens de Microsoft 365 brindan acceso persistente, lo que permite a los atacantes navegar por m\u00faltiples servicios de Microsoft sin una contrase\u00f1a ni solicitudes MFA adicionales. <\/p>\n

\u00abLa identidad puede ser muy, muy poderosa una vez que est\u00e1s en una organizaci\u00f3n\u00bb, dijo Larson, y agreg\u00f3 que los atacantes pueden abusar de ese acceso para hacerse pasar por personas, acceder y robar datos para extorsionar, cometer fraude y desplegar malware.<\/p>\n