(https://i.imgur.com/tbHqY61.jpeg)
Una sofisticada campaña de phishing por código de dispositivo está afectando activamente a más de 340 organizaciones en múltiples países, incluyendo Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania. Este nuevo vector de ataque, detectado por la firma de ciberseguridad Huntress, pone en evidencia la evolución de las amenazas dirigidas a entornos empresariales basados en la nube, particularmente aquellos que utilizan Microsoft 365.
Una campaña en rápida expansiónLa actividad maliciosa fue identificada por primera vez el 19 de febrero de 2026, mostrando desde entonces un crecimiento acelerado. Lo que distingue esta campaña no es solo el uso del flujo de autenticación por código de dispositivo, sino la combinación de múltiples técnicas de evasión, infraestructura distribuida y señuelos altamente personalizados.
Sectores como la construcción, salud, finanzas, gobierno, manufactura y organizaciones sin fines de lucro se encuentran entre los más afectados, lo que demuestra el carácter transversal del ataque.
¿Qué es el phishing por código de dispositivo?El phishing por código de dispositivo es una técnica que abusa del flujo de autorización OAuth, específicamente del sistema de autenticación utilizado por Microsoft Entra ID. Este método permite a los atacantes obtener tokens de acceso persistentes, incluso después de que la víctima cambie su contraseña.
A diferencia del phishing tradicional, este enfoque no requiere capturar directamente las credenciales, sino que engaña al usuario para completar un proceso legítimo de autenticación.
Cómo funciona el ataqueEl flujo del ataque sigue estos pasos:
- El atacante solicita un código de dispositivo mediante la API oficial de autenticación.
- El sistema genera un código único.
- La víctima recibe un correo de phishing con instrucciones para ingresar ese código en una página legítima.
- La víctima introduce el código junto con sus credenciales y autenticación multifactor (MFA).
- El sistema genera tokens de acceso y actualización que el atacante puede recuperar.
El resultado es crítico: el atacante obtiene acceso persistente a la cuenta sin necesidad de conocer la contraseña.
Infraestructura maliciosa: Cloudflare, Railway y evasión avanzadaUno de los aspectos más preocupantes de esta campaña es el uso de infraestructura legítima para evadir detección. Los atacantes están utilizando:
- Cloudflare Workers para redireccionamientos
- Railway como backend para recolectar credenciales
- Vercel como intermediario
- Servicios de seguridad como Cisco, Trend Micro y Mimecast para ocultar URLs maliciosas
Esta cadena de redirección multi-hop permite que los enlaces de phishing evadan filtros de seguridad tradicionales y herramientas de detección de spam.
Además, se ha identificado que un pequeño conjunto de direcciones IP alojadas en Railway concentra aproximadamente el 84% de la actividad maliciosa, lo que indica una infraestructura centralizada pero altamente efectiva.
Técnicas de engaño y señuelos utilizadosLos atacantes están empleando múltiples tipos de señuelos para aumentar la tasa de éxito:
- Suplantación de DocuSign
- Notificaciones falsas de buzón de voz
- Formularios fraudulentos de Microsoft Forms
- Invitaciones a licitaciones de construcción
- Mensajes relacionados con criptomonedas y apuestas
Una innovación destacada es que el código de dispositivo se genera dinámicamente y se muestra directamente en la página de phishing, eliminando la necesidad de que el atacante lo envíe manualmente.
Evasión de análisis y técnicas anti-detecciónOtra característica avanzada de esta campaña es el uso de técnicas anti-análisis para evitar ser detectados por investigadores o herramientas de seguridad. Según Unit 42, las páginas de phishing:
- Deshabilitan clic derecho y selección de texto
- Bloquean atajos como F12 o Ctrl+Shift+I
- Detectan herramientas de desarrollo abiertas
- Ejecutan bucles infinitos para impedir análisis
Estas capacidades dificultan significativamente la inspección del código malicioso.
EvilTokens: phishing como servicio (PhaaS)La campaña ha sido atribuida a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, recientemente promocionada en Telegram.
Este servicio ofrece:
- Herramientas automatizadas para campañas de phishing
- Enlaces de redirección abiertos para ocultar URLs maliciosas
- Infraestructura lista para usar
- Soporte técnico 24/7 para clientes
La profesionalización de estas plataformas está reduciendo la barrera de entrada al cibercrimen, permitiendo que más actores ejecuten ataques sofisticados.
Actores de amenaza y atribuciónEl uso de phishing por código de dispositivo no es nuevo. Fue documentado por primera vez en 2025 por Microsoft y Volexity.
Posteriormente, investigaciones han vinculado esta técnica con grupos alineados con Rusia, incluyendo:
Esto sugiere que la técnica ha evolucionado desde operaciones de ciberespionaje hacia campañas más amplias y comercializadas.
Recomendaciones para mitigar el riesgoAnte este escenario, las organizaciones deben adoptar medidas inmediatas para reducir su exposición:
- Revisar logs de autenticación en busca de IP sospechosas
- Revocar tokens de acceso y actualización en cuentas comprometidas
- Bloquear accesos desde infraestructuras como Railway
- Implementar autenticación condicional y políticas Zero Trust
- Capacitar a los usuarios sobre este tipo de phishing avanzado
Además, es crucial comprender que el cambio de contraseña no es suficiente para mitigar este tipo de ataque, ya que los tokens OAuth siguen siendo válidos.
En fin...El phishing por código de dispositivo representa una evolución significativa en las tácticas de ataque contra identidades digitales. Al aprovechar flujos legítimos de autenticación y combinar infraestructura confiable con técnicas avanzadas de evasión, los atacantes están logrando comprometer cuentas de alto valor sin levantar sospechas.
La aparición de plataformas como EvilTokens marca un punto crítico en la industrialización del cibercrimen, donde herramientas avanzadas se vuelven accesibles a una audiencia más amplia.
En este contexto, la defensa debe centrarse no solo en la tecnología, sino también en la concienciación, monitoreo continuo y una estrategia integral de seguridad basada en identidad.
Fuente: https://thehackernews.com/