← Alertas
Phishing Alto Activa

Kit de phishing Kali365, señalado por el FBI, expande sus objetivos a AWS, Okta y más plataformas

La plataforma de phishing como servicio Kali365 amplió sus objetivos. Antes atacaba solo Microsoft 365; ahora también apunta a AWS, Okta y plataformas rusas. Usa 'device code phishing', una técnica que engaña al usuario para que autorice acceso desde un segundo dispositivo sin ingresar su contraseña.

2026-06-02 · Dark Reading

Contexto

Kali365 es una plataforma de phishing como servicio —PhaaS: un kit que grupos criminales alquilan para robar credenciales corporativas—. El FBI la señaló previamente por atacar cuentas de Microsoft 365. Ahora se reporta su expansión hacia AWS, Okta y plataformas adicionales.

La técnica central es “device code phishing”: el atacante envía un enlace que parece una solicitud de inicio de sesión legítima, pero en lugar de pedir contraseña, solicita al usuario que autorice acceso ingresando un código en la pantalla de su dispositivo. El usuario cree que está completando una autenticación normal. En realidad, está autorizando acceso permanente desde un dispositivo del atacante. El doble factor de autenticación tradicional no protege contra esta técnica.

Impacto potencial

Para personas

Cualquier empleado que use Microsoft 365, AWS o Okta para trabajo está en el perfil de objetivo. El phishing no necesita ser sofisticado para ser efectivo: basta un correo que parezca venir de IT solicitando “verificación de cuenta”.

Para organizaciones

La expansión de Kali365 a AWS y Okta es significativa: estas son plataformas de infraestructura crítica. Una credencial robada de AWS puede dar acceso a datos almacenados en la nube, sistemas de producción, o pipelines de despliegue. Una credencial de Okta puede ser el punto de entrada a todos los sistemas integrados bajo ese proveedor de identidad.

Perspectiva GRC

El “device code phishing” es efectivo porque explota un flujo de autenticación legítimo —el mismo que usan las apps de dispositivos sin teclado como smart TVs—. No se puede bloquear simplemente. Requiere que los usuarios entiendan que nunca deben ingresar un código de dispositivo si no lo iniciaron ellos mismos.

Recomendaciones

Para personas

Si recibes un correo que te pide ingresar un código numérico en un sitio para “verificar tu cuenta” o “autorizar un dispositivo” que no reconoces, no lo hagas. Reporta el correo a tu área de TI o al proveedor del servicio. Ningún proceso legítimo de tu empresa requiere que autorices dispositivos desde correos no solicitados.

Para organizaciones

Revisar si la plataforma de identidad usada (Microsoft 365, AWS, Okta) tiene configurada la restricción de flujos de “device code” para usuarios que no los necesitan. En la mayoría de los casos, ese flujo puede desactivarse para usuarios corporativos sin impacto operativo. Si no existe un proceso documentado de qué flujos de autenticación están habilitados y por qué, ese proceso es el primer control a implementar.


Los kits de phishing como servicio democratizan el ataque: cualquier actor con presupuesto mínimo puede lanzar una campaña sofisticada contra tu organización. La lección permanente: la autenticación multifactor es necesaria pero no suficiente. Algunos métodos de phishing están diseñados específicamente para eludirla. La defensa real combina controles técnicos restrictivos con usuarios que entienden qué deben y qué no deben autorizar.

Leer fuente original →