Estafa Kali365: el FBI alerta sobre un nuevo fraude en Microsoft 365

¿Qué ha ocurrido?

El FBI ha emitido una alerta de seguridad urgente sobre Kali365, una plataforma de phishing como servicio (PhaaS) que se dirige específicamente a usuarios de Microsoft 365. Según la agencia, Kali365 permite a los ciberdelincuentes interceptar códigos de autorización de dispositivos OAuth, lo que les permite acceder a cuentas de Teams, Outlook y OneDrive sin necesidad de contraseña y saltándose la autenticación multifactor (MFA). La alerta, publicada el 15 de junio de 2025, fue reportada inicialmente por Slashdot y recogida por The Hill. El FBI detectó Kali365 por primera vez en abril de 2025, y desde entonces ha observado un aumento de los ataques dirigidos a organizaciones que utilizan Microsoft 365.

¿Cómo funciona el ataque?

El ataque comienza con un correo de phishing que suplanta a un servicio legítimo de intercambio de documentos, como DocuSign o SharePoint. El mensaje incluye un código de dispositivo y las instrucciones para que la víctima lo introduzca en una página de inicio de sesión falsa. Al hacerlo, el atacante obtiene un token OAuth que le permite acceder a la cuenta de la víctima de forma persistente, incluso si esta cambia su contraseña posteriormente. Este método explota el flujo de concesión de código de dispositivo de OAuth 2.0, diseñado para dispositivos sin navegador completo, pero que puede ser abusado si un atacante convence a la víctima de introducir el código en un sitio malicioso. Una vez obtenido el token, el atacante puede acceder a correos electrónicos, archivos en OneDrive, calendarios y contactos, y potencialmente propagarse a otros servicios vinculados a la cuenta de Microsoft.

¿Por qué es importante?

Kali365 representa una evolución significativa en el panorama de amenazas porque reduce la barrera de entrada para ciberdelincuentes no técnicos. La plataforma se ofrece mediante suscripción mensual de 250 dólares, e incluye plantillas de phishing generadas por IA, paneles de seguimiento en tiempo real de las víctimas, y capacidad de captura de tokens OAuth. Según la alerta del FBI, esto permite que atacantes con habilidades limitadas lleven a cabo campañas sofisticadas que antes requerían conocimientos avanzados. Además, el hecho de que eluda la MFA subraya una vulnerabilidad crítica en la seguridad de Microsoft 365. Aunque la MFA sigue siendo una defensa eficaz contra muchos ataques, Kali365 demuestra que no es infalible cuando se combina con ingeniería social y abusos del protocolo OAuth. NordPass señaló que Kali365 es un claro ejemplo de cómo la IA está siendo utilizada para potenciar el cibercrimen, facilitando la creación de señuelos de phishing cada vez más convincentes.

Consecuencias para empresas y usuarios

Las consecuencias de un ataque exitoso pueden ser graves: robo de datos confidenciales, acceso a correos electrónicos y archivos en la nube, y posible propagación a otros servicios vinculados a la cuenta de Microsoft. Para las empresas, esto puede traducirse en filtraciones de datos, pérdidas económicas y daños reputacionales. El FBI advierte que los ataques se dirigen especialmente a organizaciones que utilizan Microsoft 365, incluyendo empresas, instituciones gubernamentales y educativas. Dado que los tokens OAuth pueden ser válidos durante horas o días, el atacante tiene una ventana amplia para extraer datos. Además, al no requerir contraseña, los métodos tradicionales de detección basados en credenciales robadas pueden no alertar a los sistemas de seguridad. Se recomienda a los usuarios y administradores de TI que estén atentos a correos sospechosos que soliciten la introducción de códigos de dispositivo, y que implementen medidas adicionales como políticas de acceso condicional que restrinjan el uso de códigos de dispositivo.

¿Qué deben saber los lectores?

• No introducir códigos de dispositivo recibidos por correo electrónico a menos que se haya solicitado explícitamente y se verifique la fuente. Los códigos de dispositivo legítimos solo se generan cuando el usuario inicia el proceso en un sitio oficial.
• Revisar y revocar tokens OAuth en la configuración de seguridad de Microsoft 365 periódicamente. Los administradores pueden usar herramientas como Azure AD para auditar y revocar tokens sospechosos.
• Formar a los empleados para identificar intentos de phishing y reportarlos. Simulaciones de phishing periódicas pueden ayudar a reforzar la concienciación.
• Implementar políticas de acceso condicional que restrinjan el uso de códigos de dispositivo, por ejemplo, bloqueando este flujo para aplicaciones no aprobadas o exigiendo ubicaciones geográficas específicas.
• Habilitar la autenticación multifactor resistente al phishing, como Windows Hello for Business o FIDO2, que no dependen de códigos de dispositivo.

Como señaló NordPass, Kali365 es un claro ejemplo de cómo la IA está siendo utilizada para potenciar el cibercrimen, facilitando la creación de lures de phishing cada vez más convincentes.

Contexto histórico y comparación

Kali365 no es el primer servicio de PhaaS, pero se distingue por su enfoque en OAuth y su bajo coste. Servicios similares como EvilGinx o Modlishka también atacan la MFA mediante proxies inversos que capturan tokens de sesión, pero Kali365 integra IA para automatizar la generación de contenido y el seguimiento de víctimas, lo que lo hace más accesible y peligroso. Además, a diferencia de ataques que requieren infraestructura propia, Kali365 ofrece una plataforma llave en mano. Comparado con el ataque de token de sesión de 2022 contra Okta, donde se utilizó un proveedor de soporte comprometido, Kali365 democratiza el acceso a técnicas avanzadas. Microsoft ha sido notificada y está trabajando en mitigaciones, como la detección de flujos de código de dispositivo anómalos, pero mientras tanto, los usuarios deben extremar las precauciones. El FBI recomienda también reportar cualquier actividad sospechosa al Centro de Quejas de Delitos en Internet (IC3).