← Alertas
Phishing Activa

Kali365, kit de phishing señalado por el FBI, expande su objetivo hacia AWS, Okta y plataformas rusas

La plataforma de Phishing-as-a-Service Kali365 —marcada por el FBI— amplió sus objetivos más allá de Microsoft 365 para incluir AWS, Okta y plataformas rusas, usando la técnica de device code phishing para robar sesiones activas.

2026-06-03 · Monitoreo Telegram

Contexto

Kali365 es una plataforma de Phishing-as-a-Service —PaaS criminal, donde los atacantes rentan un kit de herramientas para lanzar campañas de phishing sin necesidad de construirlas desde cero. Fue marcada por el FBI y reportada el 2 de junio de 2026 por Dark Reading con una expansión significativa de sus capacidades.

Originalmente diseñada para robar credenciales de Microsoft 365, Kali365 ahora apunta también a Amazon Web Services (AWS), Okta —la plataforma de gestión de identidades corporativas más usada en el mundo— y plataformas de origen ruso.

La técnica central que usa es device code phishing: en lugar de pedir la contraseña directamente, el atacante engaña a la víctima para que autorice un dispositivo usando un código legítimo de Microsoft o del servicio objetivo. La víctima autentica sin darse cuenta que está entregando acceso a una sesión real. Esta técnica elude la autenticación de dos factores en muchos escenarios.

Impacto potencial

Para personas

Si recibes un correo, mensaje de Teams o Slack que te pide “verificar tu dispositivo” o “autorizar acceso” usando un código de seis dígitos, confirma directamente con el remitente antes de proceder. Este es el patrón exacto del device code phishing.

Para organizaciones

La expansión hacia AWS y Okta es el punto crítico. Okta gestiona el acceso a docenas de aplicaciones corporativas desde una sola identidad. Un token de Okta comprometido puede otorgar acceso simultáneo a correo, CRM, ERP, recursos humanos y sistemas financieros.

Para organizaciones que usan AWS, el robo de credenciales puede derivar en:

La técnica de device code phishing es especialmente peligrosa porque las soluciones de seguridad tradicionales —filtros de spam, antivirus— no la detectan: el flujo de autenticación es técnicamente legítimo.

Perspectiva GRC

Kali365 siendo una plataforma de renta señala el estado actual del ecosistema criminal: el phishing ya no requiere conocimiento técnico. Cualquier persona puede rentar una campaña lista para lanzar en horas, contra objetivos empresariales, incluyendo plataformas de gestión de identidad.

La brecha de gobernanza que esto explota: las organizaciones no tienen un proceso para detectar autorizaciones de dispositivos inusuales. Okta, Microsoft 365 y AWS registran cada autorización en sus logs. Pero si nadie revisa esos logs con regularidad, el acceso comprometido puede pasar semanas sin detectarse.

Recomendaciones

Para personas

Para organizaciones

La pregunta que debes poder responder hoy: ¿quién en tu organización revisa los logs de autorizaciones de dispositivos en Okta, Microsoft 365 o AWS, y con qué frecuencia?


El phishing ya no intenta robar tu contraseña. Intenta convencerte de que entregues el acceso tú mismo. La diferencia entre un flujo legítimo de autorización y un ataque de device code es únicamente el contexto: ¿iniciaste tú esta solicitud? Si la respuesta no es un sí rotundo, la respuesta es no.