Las campañas de phishing han evolucionado notablemente en los últimos años. Atrás quedaron los mensajes plagados de errores ortográficos y las páginas falsas fácilmente identificables. Hoy, los ciberdelincuentes son capaces de aprovechar servicios legítimos para engañar a las víctimas y obtener acceso a sus cuentas sin necesidad de robar contraseñas.

Ante este escenario, ESET, compañía líder en ciberseguridad, alerta sobre EvilTokens, un kit de phishing como servicio (PhaaS) diseñado para comprometer cuentas de Microsoft 365 mediante el abuso de un mecanismo legítimo de autenticación. La técnica empleada, conocida como phishing mediante códigos de dispositivo, permite a los atacantes obtener acceso a cuentas corporativas incluso cuando estas cuentan con autenticación multifactor (MFA).

“Durante años hemos enseñado a los usuarios a desconfiar de enlaces sospechosos o páginas de inicio de sesión falsas, pero ataques como EvilTokens demuestran que los delincuentes están adaptando sus tácticas. En este caso, la víctima interactúa con una página legítima de Microsoft y completa un proceso de autenticación real, lo que hace que el fraude resulte mucho más difícil de detectar”, explica Josep Albors, director de investigación y concienciación de ESET España.

Cuando el engaño utiliza servicios legítimos

EvilTokens aprovecha el flujo de autorización de dispositivos de OAuth 2.0, una funcionalidad diseñada para facilitar el inicio de sesión en dispositivos donde introducir credenciales puede resultar incómodo, como televisores inteligentes o impresoras conectadas.

Según explica ESET, el procedimiento comienza cuando los atacantes generan un código de dispositivo válido y lo incorporan a correos electrónicos o mensajes que simulan compartir documentos, facturas, invitaciones de calendario o solicitudes de acceso a plataformas corporativas. La víctima es dirigida posteriormente a una página legítima de Microsoft donde introduce dicho código y completa el proceso de autenticación.

Sin embargo, lo que aparentemente parece un acceso legítimo está autorizando en realidad la sesión iniciada previamente por el ciberdelincuente. Una vez completado el proceso, los atacantes reciben los permisos necesarios para acceder a recursos corporativos como correo electrónico, archivos, OneDrive, Teams o SharePoint.

“Este tipo de acceso puede utilizarse posteriormente para el robo de información, la exfiltración de datos o el lanzamiento de ataques de compromiso del correo electrónico corporativo (BEC), especialmente contra departamentos de finanzas, recursos humanos, logística o ventas”, alerta Albors.

Por qué resulta tan difícil de detectar

Uno de los aspectos más preocupantes de EvilTokens es que elimina muchos de los indicadores tradicionales asociados al phishing. La víctima no introduce sus credenciales en una página fraudulenta ni accede a dominios falsificados. Todo el proceso se desarrolla a través de servicios legítimos de Microsoft, lo que dificulta que los usuarios identifiquen señales de alerta.

Además, el ataque también reduce la efectividad de algunas de las medidas de protección más extendidas. Aunque la autenticación multifactor sigue siendo una herramienta esencial para reforzar la seguridad, en este caso los atacantes no la eluden técnicamente, sino que convencen a la propia víctima para que complete el proceso de validación en su nombre.

“Este tipo de campañas demuestra que los atacantes ya no siempre necesitan robar una contraseña o crear una página falsa para comprometer una cuenta. En muchas ocasiones les basta con conseguir que el usuario autorice una acción aparentemente legítima. Por eso es tan importante que las organizaciones refuercen la concienciación y adapten sus medidas de protección a la evolución constante de las amenazas”, señala el experto de ESET.

Cómo reducir el riesgo frente a este tipo de ataques

Desde ESET recuerdan que la protección frente a las amenazas modernas requiere ir más allá de las recomendaciones tradicionales contra el phishing, como:

• Desconfiar de cualquier solicitud inesperada para introducir un código de autenticación, especialmente si no has iniciado tú mismo el proceso.
• Antes de aprobar un acceso, verificar qué aplicación solicita permisos, qué cuenta está implicada y si realmente esperabas esa solicitud.
• No asumir que una petición es segura únicamente porque se produzca en una página legítima.
• Informar al departamento de TI o seguridad ante cualquier solicitud de código de dispositivo que resulte inesperada o sospechosa.
• Mantenerte alerta ante notificaciones de inicio de sesión inusuales, nuevas reglas en el correo electrónico o actividades que no reconozcas en tus cuentas.
• Si gestionas la seguridad de una organización, limitar el uso de los flujos de códigos de dispositivo cuando no sean estrictamente necesarios y refuerza la formación de los empleados frente a este tipo de técnicas.