← Alertas
Phishing Activa

Kali365: servicio de phishing industrial apunta a cuentas Microsoft 365 de empresas

El FBI advierte sobre Kali365, una plataforma que vende capacidad de ataque de phishing a terceros y usa el mecanismo de autenticación OAuth de Microsoft para robar sesiones activas y eludir la verificación en dos pasos. Cualquier empresa que use Microsoft 365 está en el radio de acción.

2026-05-25 · BleepingComputer

Contexto

El FBI emitió una advertencia formal. Kali365 es una plataforma que vende capacidad de ataque a otros delincuentes. Sin conocimientos técnicos. Sin infraestructura propia. Solo pagan y atacan.

El método es difícil de detectar. Abusa del flujo de autenticación OAuth por código de dispositivo. Es un mecanismo que Microsoft creó para equipos sin navegador: televisores inteligentes, impresoras en red. Legítimo por diseño.

El ataque funciona así. El operador genera un código válido desde la propia infraestructura de Microsoft. Envía un correo al empleado objetivo. Le pide visitar una URL auténtica de Microsoft. No una página falsa. Una página real. El empleado ingresa el código. Cree que completa una verificación de seguridad. No lo es. Acaba de autorizar la sesión del atacante.

El resultado: un token de acceso en manos del delincuente. Una credencial digital que opera la cuenta sin contraseña.

Impacto potencial

La verificación en dos pasos no lo detiene. El empleado es quien hace la autenticación. Voluntariamente. El segundo factor queda satisfecho. El atacante entra igual.

El riesgo más directo: fraude por desvío de pagos. El atacante monitorea conversaciones de facturación activas. Intercepta una transferencia. Redirige los fondos. Nadie lo nota hasta que el dinero ya salió. Es uno de los fraudes más difíciles de revertir.

El segundo riesgo es contractual. El atacante opera desde el correo real de la empresa. Puede engañar a clientes. Puede filtrar contratos. Puede atacar a proveedores en nombre de la organización. Eso no es un incidente técnico. Es un evento legal.

Si el acceso alcanza nóminas, contratos o datos de empleados, se activan obligaciones de notificación ante reguladores.

Recomendaciones

Leer fuente original →