Esta novedosa campaña de phishing, detectada por el equipo de Sekoia
y con gran actividad en marzo de 2026, ya no se vale de un mail falso, una
página clonada y del robo de credenciales.
En este esquema, es la víctima la que ingresa a un sitio real, interactúa con
la infraestructura legítima de Microsoft, donde el proceso de autenticación
utiliza servicios oficiales: la autenticación es válida y es la propia víctima
quien autoriza el acceso. El ciberatacante no roba la contraseña para
ingresar, sino que obtiene tokens de sesión legítimos emitidos por el
proveedor de identidad.
De este modo, el ciberatacante obtiene una sesión legítima, autenticada
correctamente, con el multifactor de autenticación (MFA) aprobado y hasta
emitida por Microsoft. Y todo ello sin la necesidad de robar una contraseña o
vulnerar a la plataforma, ya que es la víctima quien autoriza el acceso.
¿Qué es EvilTokens?
EvilTokens es una plataforma de Phishing as a Service que busca comprometer
cuentas de Microsoft 365, incluso aquellas con multifactor de autenticación
activado, abusando del flujo de código de dispositivo OAuth.
Los cibercriminales engañan a la víctima para que completen el proceso de
autenticación en las páginas oficiales de inicio de sesión de Microsoft. De
esta forma logran acceder a los recursos y datos sin levantar sospechas, como
si se tratara de una actividad habitual de la víctima.
Esta
campaña, activa desde al menos febrero de 2026, circula a través de canales de
Telegram. Solo durante marzo, según publica Huntress, afectó
casi 350 organizaciones, con especial foco en Estados Unidos, Canadá, Australia, Nueva Zelanda y
Alemania.
Desde mediados de marzo de 2026, Microsoft observó el lanzamiento de
entre 10 y 15 campañas
distintas cada 24 horas.
El ataque: paso a paso
Para comprender de qué manera opera EvilTokens, detallaremos el paso a paso
del ataque.
1. Validación
El ciberatacante, primero, verifica si la cuenta realmente existe. ¿Cómo? A
través de una función legítima de Microsoft, que permite confirmar su
existencia. Este reconocimiento previo suele hacerse varios días antes del
phishing, para asegurarse de atacar únicamente cuentas válidas y aumentar las
chances de éxito.
2. Inicio de autenticación
El ciberdelincuente genera un pedido de acceso legítimo, valiéndose del flujo
OAuth Device Code
de Microsoft. Dicho de una manera más llana, «abre» una sesión para la cual
Microsoft genera un código temporal, que queda a la espera de la autorización.
Esto es clave: ese código es el que queda asociado a la sesión del
ciberatacante.
3. El engaño
Luego, el ciberatacante envía a la víctima un mensaje convincente a través del
correo, una invitación, un supuesto documento o una alerta corporativa. Para
eso utiliza frases anzuelo del tipo
«Complete la validación en Microsoft»,
«Tienes un documento pendiente», «Firma requerida», entre otras
excusas.
4. Ingreso a Microsoft
Si la víctima cae en el engaño y hace clic en el enlace, será redirigida al
portal real de Microsoft, donde tanto el dominio como el flujo de
autenticación son genuinos, lo que hace que el ataque resulte especialmente
convincente.
5. Ingreso del código
Este paso es crítico, ya que el código NO pertenece a una acción iniciada por
la víctima, sino a la sesión que inició previamente el ciberatacante. Así, y
sin saberlo, la víctima está vinculando su cuenta a la sesión del actor
malicioso.
6. Aprobación del acceso
Debido a la acción que se desencadena tras el ingreso del código, Microsoft
interpreta que el usuario autorizó esta sesión. Por ello, emite access tokens
(credenciales temporales que permiten acceder a una cuenta ya autenticada sin
volver a ingresar usuario y contraseña) y refresh tokens (de mayor duración,
que permiten generar nuevos access tokens de forma automática). La mala
noticia es que esos tokens se entregan a la sesión que controla el
ciberatacante.
La clave del ataque de EvilTokens
OAuth Device Code Flow, esa es la clave del éxito del ataque de EvilTokens. O, mejor dicho, el
abuso de ese mecanismo legítimo de autenticación de Microsoft.
Diseñado
para dispositivos con capacidades limitadas (léase Smart TVs, impresoras o
equipos IoT), permite iniciar sesión manualmente en los casos en los que puede
resultar incómodo.
¿Cómo funciona? Un dispositivo solicita el código, el usuario ingresa a la
página de Microsoft e introduce el código recibido. Luego, Microsoft valida la
autenticación y emite tokens de acceso para el dispositivo.
El problema aparece cuando el flujo es abusado por un ciberatacante, el cual
logra generar device codes para luego distribuirlos a través de
campañas de phishing.
Si la víctima no identifica que se trata de un engaño e ingresa el código en
el portal legítimo, Microsoft entregará tokens válidos, pero asociados a la
sesión controlada por el ciberatacante.
¿Por qué EvilTokens es tan peligroso?
EvilTokens es especialmente peligroso porque no presenta las «banderas
rojas» clásicas del phishing: no utiliza dominios sospechosos ni presenta
errores visuales o gramaticales. Por el contrario, todo en el flujo es
técnicamente legítimo: el sitio, el MFA y el proceso de autenticación.
Dicho en otras palabras, al ocurrir dentro de la infraestructura de Microsoft,
la víctima confía y no sospecha que se trata de un engaño.
Otro punto crítico sobre la peligrosidad de EvilTokens es que, cuando el
ataque es efectivo, el cibercriminal obtiene acceso persistente a correos
electrónicos y documentos corporativos, lo que abre la posibilidad concreta de
realizar fraudes especialmente dirigidos o del tipo business email compromise
(BEC).
En este contexto, no resulta casual que las
áreas predilectas
a las que apuntan los cibercriminales sean los departamentos de Finanzas,
Recursos Humanos, Logística, así como también cargos ejecutivos.
Fuente:
WeLiveSecurity

