Underc0de - La Casa de los Informáticos

El Buró Federal de Investigaciones de Estados Unidos (FBI) emitió una alerta de seguridad sobre Kali365, una peligrosa plataforma de phishing como servicio (PhaaS) que está siendo utilizada para comprometer cuentas de Microsoft 365 mediante el abuso del flujo de autenticación por código de dispositivo OAuth.

La amenaza representa una evolución significativa en las campañas modernas de phishing, ya que permite a los ciberdelincuentes secuestrar cuentas corporativas sin necesidad de robar contraseñas ni interceptar códigos de autenticación multifactor (MFA).

Según el FBI, Kali365 apareció por primera vez en abril de 2026 y rápidamente comenzó a distribuirse a través de canales de Telegram especializados en cibercrimen, ofreciendo a atacantes de bajo nivel acceso a herramientas avanzadas capaces de comprometer entornos Microsoft Entra y Microsoft 365.

La plataforma ha generado preocupación entre expertos en ciberseguridad debido a su capacidad para explotar mecanismos legítimos de autenticación OAuth 2.0 y obtener acceso persistente a servicios cloud empresariales.

Qué es Kali365 y cómo funciona

Kali365 es una plataforma PhaaS diseñada específicamente para facilitar ataques de phishing contra usuarios de Microsoft 365 y Microsoft Entra.

Su principal objetivo es robar tokens de sesión OAuth válidos para obtener acceso completo a las cuentas de las víctimas, incluso cuando tienen habilitada la autenticación multifactor.

A diferencia del phishing tradicional, donde los atacantes intentan capturar credenciales y códigos MFA, Kali365 explota directamente el flujo legítimo de autenticación por código de dispositivo de Microsoft.

Este método permite a los atacantes:

• Obtener tokens OAuth válidos
• Eludir MFA
• Secuestrar sesiones autenticadas
• Acceder a aplicaciones SaaS corporativas
• Mantener persistencia dentro del entorno comprometido

Qué es el phishing por código de dispositivo

El phishing por código de dispositivo es una técnica que abusa del flujo de autorización OAuth 2.0 diseñado originalmente para dispositivos con capacidades limitadas de entrada.

Microsoft implementó este sistema para permitir que dispositivos como:

• Smart TVs
• Equipos de videoconferencia
• Dispositivos IoT
• Consolas multimedia
• Impresoras inteligentes

puedan autenticarse utilizando otro dispositivo mediante un código corto.

El usuario simplemente introduce un código temporal en el portal oficial:

• microsoft.com/devicelogin

y aprueba la autenticación desde otro dispositivo ya autenticado.

Cómo los atacantes abusan del flujo OAuth

En las campañas de Kali365, los atacantes inician ellos mismos el proceso de autorización para generar un código OAuth válido.

Posteriormente, mediante phishing e ingeniería social, engañan a la víctima para que introduzca ese código en el portal legítimo de Microsoft.

Una vez que el usuario:

• Ingresa el código
• Completa la autenticación MFA
• Aprueba la solicitud

Microsoft genera automáticamente un token OAuth válido y lo entrega al atacante.

El resultado es extremadamente peligroso porque:

• No se roba la contraseña
• No se intercepta el MFA
• La víctima interactúa con un dominio legítimo
• El acceso parece una autenticación válida

Esto dificulta enormemente la detección por soluciones tradicionales de seguridad.

Kali365 permite secuestrar cuentas empresariales completas

Una vez obtenido el token OAuth, los atacantes pueden acceder a todas las aplicaciones conectadas mediante inicio de sesión único (SSO).

Esto incluye plataformas como:

• Microsoft 365
• Outlook
• SharePoint
• Teams
• OneDrive
• Salesforce
• Aplicaciones SaaS corporativas
• Portales cloud empresariales

Con este acceso, los ciberdelincuentes pueden:

• Robar correos electrónicos
• Exfiltrar documentos
• Comprometer información financiera
• Obtener datos internos
• Expandirse lateralmente dentro de la organización

Kali365 convierte el phishing avanzado en un servicio accesible

Uno de los aspectos más preocupantes destacados por el FBI es que Kali365 funciona como una plataforma comercial clandestina.

El servicio ofrece herramientas avanzadas incluso a ciberdelincuentes con poca experiencia técnica.

Entre las funcionalidades identificadas se encuentran:

Señuelos generados con IA

La plataforma utiliza inteligencia artificial para crear mensajes de phishing más convincentes y personalizados.

Plantillas automatizadas

Los atacantes pueden lanzar campañas rápidamente utilizando kits preconfigurados.

Paneles de monitoreo en tiempo real

Kali365 permite rastrear:

• Víctimas comprometidas
• Tokens capturados
• Sesiones activas
• Estado de autenticación

Captura avanzada de tokens
La plataforma automatiza el robo y almacenamiento de tokens OAuth válidos.

Arctic Wolf detectó campañas masivas globales

Investigadores de Arctic Wolf revelaron que Kali365 estuvo involucrado en campañas a gran escala dirigidas a organizaciones de todo el mundo.

Los ataques se enfocaban principalmente en entornos Microsoft 365 utilizando correos electrónicos fraudulentos que redirigían a las víctimas al portal legítimo de autenticación por código de dispositivo.

Debido a que el sitio web utilizado era real y pertenecía a Microsoft, muchas víctimas no sospechaban que estaban autorizando acceso a los atacantes.

Los atacantes ocultaban su actividad en Outlook

Tras comprometer las cuentas, los operadores de Kali365 implementaban técnicas para mantener el acceso y evitar ser detectados.

Entre las actividades observadas destacan:

• Creación de reglas maliciosas en Outlook
• Ocultamiento automático de correos
• Redirección de mensajes
• Eliminación de alertas de seguridad

Estas reglas permitían a los atacantes monitorear silenciosamente las comunicaciones internas de las organizaciones comprometidas.

Registro de dispositivos para persistencia

En algunos incidentes, los atacantes también registraron nuevos dispositivos dentro del entorno Microsoft Entra de las víctimas.

Esto les permitía:

• Mantener acceso persistente
• Renovar tokens
• Evadir cierres de sesión
• Ampliar privilegios

La táctica incrementa significativamente el impacto de la intrusión y complica las tareas de contención.

Kali365 opera como una organización criminal estructurada

Arctic Wolf indicó que Kali365 no funciona como una simple herramienta aislada, sino como una operación criminal organizada.

La plataforma incluye:

Administradores

Responsables del desarrollo y mantenimiento del servicio.

Revendedores

Encargados de promocionar Kali365 en foros y canales de Telegram.

Afiliados

Ciberdelincuentes que utilizan la infraestructura para lanzar campañas de phishing.

Este modelo de negocio refleja la creciente profesionalización del ecosistema de cibercrimen.

Kali365 también utiliza ataques Adversary-in-the-Middle

Además del phishing por código de dispositivo, la plataforma incorpora un segundo modo de ataque denominado:

• Cookie Link

Este mecanismo funciona como un ataque adversario en el medio (AitM).

El sistema proxia la sesión de la víctima a través de infraestructura controlada por los atacantes y captura:

• Cookies autenticadas
• Tokens de sesión
• Credenciales temporales
• Información de navegador

La técnica permite resolver automáticamente MFA y secuestrar sesiones activas.

El phishing OAuth se expande rápidamente en 2026

El FBI advirtió que el phishing basado en código de dispositivo se ha convertido en una de las técnicas más utilizadas por actores de amenazas durante 2026.

Otras plataformas y grupos criminales ya utilizan métodos similares, incluyendo:

• EvilTokens
• Tycoon2FA
• ShinyHunters

La adopción masiva de esta técnica demuestra que los ataques están evolucionando más allá del robo tradicional de contraseñas.

Cómo protegerse frente a Kali365

El FBI recomienda a las organizaciones implementar medidas inmediatas para reducir el riesgo.

Deshabilitar autenticación por código de dispositivo

Cuando sea posible:

• Bloquear flujos OAuth de código de dispositivo
• Restringir acceso mediante políticas condicionales

Auditar uso de OAuth

Revisar:

• Aplicaciones autorizadas
• Dispositivos registrados
• Tokens activos
• Accesos sospechosos

Bloquear transferencia de autenticación

Impedir que sesiones autenticadas se muevan entre dispositivos no autorizados.

Capacitar empleados

Educar usuarios sobre:

• Ingeniería social
• • Solicitudes OAuth sospechosas
  • Riesgos del phishing moderno
  
  Supervisar reglas de Outlook
  
  Detectar:
  
  
  • Reglas ocultas
  • Redirecciones sospechosas
  • Eliminación automática de mensajes
  
  Kali365 demuestra la evolución del phishing moderno
  
  La aparición de Kali365 confirma que los ataques de phishing están evolucionando rápidamente hacia métodos mucho más sofisticados y difíciles de detectar.
  
  El abuso de mecanismos legítimos de OAuth, combinado con robo de tokens y técnicas AitM, permite a los atacantes eludir MFA y comprometer cuentas empresariales sin necesidad de robar contraseñas.
  
  Para las organizaciones, esto representa un desafío crítico, ya que las soluciones tradicionales de seguridad centradas únicamente en credenciales ya no son suficientes para detener amenazas modernas basadas en tokens y autenticación federada.
  
  La seguridad de identidades y accesos cloud se perfila ahora como uno de los pilares más importantes de la ciberseguridad empresarial moderna.
  
  Fuente: https://www.bleepingcomputer.com/

Y cual es la novedad?