El usuario interactúa con una página legítima y autoriza acceso a un ciberdelincuente
En un momento en que las organizaciones depositan su confianza en capas sucesivas de autenticación, los atacantes han aprendido a habitar esas mismas capas. EvilTokens, un kit de phishing identificado por ESET, no falsifica plataformas ni engaña con páginas fraudulentas: conduce a las víctimas hacia la infraestructura auténtica de Microsoft y las hace completar, sin saberlo, un proceso de autorización real que entrega el control de sus cuentas corporativas. Es la paradoja de nuestra era digital: cuanto más confiamos en los sistemas legítimos, más valiosos se vuelven como vectores de engaño.
- EvilTokens invierte la lógica del phishing tradicional: en lugar de imitar plataformas reales, las usa directamente, eliminando todas las señales de alerta que los usuarios han aprendido a detectar.
- El ataque explota el flujo OAuth 2.0 de códigos de dispositivo de Microsoft, un mecanismo diseñado para televisores e impresoras, ahora convertido en puerta trasera para comprometer cuentas corporativas.
- La autenticación multifactor, considerada el escudo más robusto para cuentas empresariales, resulta ineficaz porque la víctima completa el proceso de verificación de forma genuina, sin que los sistemas detecten anomalía alguna.
- ESET urge a usuarios y administradores a desconfiar de cualquier solicitud inesperada de códigos, revisar permisos con detenimiento y restringir el uso de flujos de dispositivo donde no sean estrictamente necesarios.
- El caso señala una inflexión en la ciberseguridad corporativa: los entrenamientos tradicionales contra el phishing ya no bastan cuando el fraude ocurre dentro de entornos completamente legítimos.
Los ciberdelincuentes han encontrado la manera de convertir las propias defensas de las organizaciones en su punto de entrada. EvilTokens, un kit de phishing identificado por ESET que opera bajo el modelo de phishing como servicio, no construye páginas falsas ni imita interfaces conocidas. En cambio, aprovecha los códigos de dispositivo de Microsoft, una función legítima pensada para equipos con capacidades limitadas de entrada, como televisores inteligentes e impresoras.
El mecanismo es desconcertantemente sencillo: los atacantes generan un código de dispositivo válido y lo insertan en correos, facturas o solicitudes de apariencia rutinaria. Al hacer clic, la víctima llega a una página oficial de Microsoft, introduce el código y completa un proceso de autenticación real. Sin saberlo, acaba de autorizar el acceso de un ciberdelincuente a su cuenta corporativa.
Josep Albors, director de investigación de ESET España, advierte que este tipo de ataque invalida años de formación en ciberseguridad. La víctima nunca toca una página falsa, nunca recibe una advertencia del navegador, nunca ve una URL sospechosa. Todo ocurre dentro de la infraestructura auténtica de Microsoft, lo que hace que incluso la autenticación multifactor resulte inútil: desde la perspectiva de los sistemas de seguridad, el proceso parece completamente legítimo.
En respuesta, ESET recomienda que los usuarios desconfíen de cualquier solicitud inesperada de códigos de autenticación, aunque provenga de un sitio oficial, y que revisen con cuidado qué aplicación está solicitando permisos antes de aprobar cualquier acceso. Para las organizaciones, la recomendación es más técnica: restringir el uso del flujo de códigos de dispositivo cuando no sea estrictamente necesario, capacitar a los empleados para reportar de inmediato cualquier requerimiento sospechoso y monitorear notificaciones de inicio de sesión inusuales.
EvilTokens marca un punto de inflexión: ya no se trata de explotar la ingenuidad de los usuarios ni de encontrar grietas técnicas evidentes, sino de transformar los mecanismos de seguridad más confiables en instrumentos del propio fraude.
Los ciberdelincuentes han encontrado una nueva forma de burlar las defensas que las organizaciones construyen alrededor de sus sistemas más sensibles. Mientras empresas de todo el mundo refuerzan sus redes con autenticación multifactor y otros mecanismos de protección, los atacantes avanzan con una táctica que aprovecha precisamente aquello en lo que los usuarios han aprendido a confiar: las plataformas legítimas de Microsoft.
EvilTokens es el nombre de un kit de phishing que la firma de ciberseguridad ESET identificó recientemente. Funciona bajo el modelo de phishing como servicio, una modalidad que permite a distintos actores maliciosos acceder a herramientas especializadas para lanzar campañas de fraude digital. La sofisticación del ataque radica en cómo explota un mecanismo completamente legítimo: los códigos de dispositivo, una función que Microsoft ofrece para iniciar sesión en equipos y aplicaciones con capacidades limitadas de entrada de datos, como televisores inteligentes e impresoras conectadas.
El proceso es deceptivamente simple. Los atacantes generan un código de dispositivo válido y lo incrustan en correos electrónicos, facturas o solicitudes que parecen normales dentro del entorno laboral. Cuando la víctima recibe el mensaje y hace clic, es dirigida a una página oficial de Microsoft. Allí introduce el código que le proporcionaron y completa un proceso de autenticación que parece completamente legítimo. Lo que no sabe es que al hacerlo, está autorizando el acceso a su cuenta a un ciberdelincuente.
Josep Albors, director de investigación y concienciación de ESET España, señala que durante años la industria de seguridad ha enseñado a los usuarios a desconfiar de enlaces sospechosos y páginas de inicio de sesión falsas. Pero ataques como EvilTokens demuestran que los delincuentes están adaptando sus tácticas de formas que los entrenamientos tradicionales no anticipaban. El peligro es que la víctima nunca interactúa con una página falsa. Interactúa con la plataforma auténtica de Microsoft. Esto elimina muchas de las señales tradicionales que suelen ayudar a identificar un intento de fraude.
Lo que más preocupa a los especialistas es que este método puede comprometer cuentas incluso cuando están protegidas mediante autenticación multifactor. La razón es fundamental: el usuario no está ingresando sus credenciales en un sitio fraudulento, sino que está completando un proceso de autenticación real en una plataforma real. Desde la perspectiva de los sistemas de seguridad, todo parece legítimo. El flujo de autorización de dispositivos OAuth 2.0, que EvilTokens aprovecha, es un sistema ampliamente utilizado y confiable. Pero en este contexto, se convierte en una puerta trasera.
Ante la sofisticación de este tipo de ataques, ESET ha emitido una serie de recomendaciones. Los usuarios deben desconfiar de cualquier petición inesperada para introducir un código de autenticación, incluso si proviene de una página oficial. Es importante revisar cuidadosamente qué aplicación está solicitando permisos antes de aprobar cualquier acceso. La compañía insiste en que los usuarios no deben asumir que una solicitud es segura únicamente porque se realiza dentro de un sitio legítimo.
Para las organizaciones, las medidas son más técnicas. Los administradores de sistemas deben restringir el uso de los flujos de códigos de dispositivo cuando no sean estrictamente necesarios. Los empleados deben ser instruidos para informar de inmediato al departamento de tecnología ante cualquier requerimiento sospechoso relacionado con códigos de acceso. Y todos deben mantenerse atentos a notificaciones de inicio de sesión inusuales, que podrían indicar que alguien más ha accedido a la cuenta.
EvilTokens representa un cambio en la naturaleza de las amenazas cibernéticas. Ya no se trata solo de engañar a usuarios desprevenidos o de explotar vulnerabilidades técnicas obvias. Se trata de convertir los mecanismos legítimos de seguridad en armas contra ellos mismos, de manera que incluso los usuarios más precavidos y las defensas más robustas pueden ser comprometidas.
Citações Notáveis
Durante años hemos enseñado a los usuarios a desconfiar de enlaces sospechosos, pero ataques como EvilTokens demuestran que los delincuentes están adaptando sus tácticas— Josep Albors, director de investigación de ESET España
La víctima interactúa con una página legítima de Microsoft y completa un proceso de autenticación real, lo que hace que el fraude resulte mucho más difícil de detectar— Josep Albors, ESET
A Conversa do Hearth Outra perspectiva sobre a história
¿Por qué este ataque es tan efectivo si Microsoft 365 ya tiene autenticación multifactor?
Porque el usuario nunca está mintiendo sobre sus credenciales. Está completando un proceso real en una plataforma real. El multifactor protege contra alguien que intenta acceder con una contraseña robada, pero aquí el usuario está voluntariamente autorizando el acceso.
Entonces, ¿cómo sabe alguien que ha sido víctima de EvilTokens?
Probablemente no lo sepa de inmediato. Podría notar notificaciones de inicio de sesión desde ubicaciones extrañas, o descubrir que sus correos han sido reenviados a direcciones desconocidas. Para entonces, el daño ya está hecho.
¿Qué hace que los códigos de dispositivo sean tan vulnerables a esto?
Fueron diseñados para dispositivos con pantallas pequeñas o sin teclado. Nadie esperaba que se usaran como vehículo para phishing. El atacante simplemente los redirige hacia un contexto donde parecen legítimos.
¿Es posible que una organización se defienda completamente de esto?
Sí, si restringe los flujos de códigos de dispositivo y entrena a los empleados a sospechar de cualquier solicitud inesperada de autenticación. Pero requiere vigilancia constante y una cultura de seguridad que no confíe en las apariencias.
¿Qué diferencia hay entre EvilTokens y otros ataques de phishing?
La mayoría de los ataques de phishing crean una ilusión de legitimidad. EvilTokens usa la legitimidad real. Eso es lo que lo hace tan peligroso.