LA NUEVA ERA DEL PHISHING: EVILTOKENS Y EL SECUESTRO DE SESIONES OAUTH EN MICROSOFT 365.

El ecosistema del cibercrimen ha madurado. La era donde el objetivo principal de los atacantes era robar contraseñas está llegando a su fin. Ante la adopción masiva de la Autenticación Multifactor (MFA), los actores de amenazas han migrado hacia modelos de negocio altamente estructurados que apuntan directamente a la confianza implícita del sistema: los tokens de sesión.

Plataformas de Phishing-as-a-Service como EvilTokens han democratizado el acceso a vectores de ataque avanzados. Hoy en día, un atacante con conocimientos técnicos básicos puede comprometer infraestructuras críticas de Microsoft 365 (Entra ID) eludiendo defensas perimetrales y controles MFA.

¿Qué es EvilTokens y el Device Code Phishing?

A diferencia del phishing estático tradicional o incluso de los ataques Adversary-in-the-Middle como Evilginx (que requieren interponer un proxy inverso entre el usuario y el servidor), EvilTokens se especializa en una técnica particularmente evasiva: el Device Code Phishing (o abuso del flujo OAuth de códigos de dispositivo).

Este ataque explota un mecanismo de autenticación legítimo de Microsoft diseñado para dispositivos que carecen de un navegador web completo (por ejemplo, Smart TVs o dispositivos IoT). El atacante inicia una solicitud de inicio de sesión y engaña a la víctima para que la autorice desde su propio equipo, utilizando su propia sesión legítima.

El cambio de paradigma: El atacante no roba la contraseña ni evade la MFA. Hace que la víctima introduzca sus credenciales y apruebe el desafío MFA en la página real de Microsoft, entregando voluntariamente el token de acceso al cibercriminal.

Anatomía del Ataque: Paso a Paso

El flujo operativo de una campaña orquestada mediante EvilTokens sigue una secuencia meticulosa:

1.   Generación del Señuelo: El atacante envía una solicitud a la API de Microsoft solicitando acceso. Microsoft le devuelve un código alfanumérico.

2.   Ingeniería Social e IA: Utilizando IA generativa para lograr un contexto corporativo perfecto (incluso con regionalismos locales, como notificaciones del SAT o bancarias en México), el atacante envía un correo a la víctima pidiéndole que ingrese el código para abrir un "documento urgente".

3.   Autenticación en Entorno Real: La víctima hace clic en un enlace que la dirige a la página real y oficial de Microsoft (microsoft.com/devicelogin). No hay dominios falsos ni errores SSL, el candado verde está presente.

4.   Secuestro del Token: La víctima ingresa el código, su usuario, contraseña y aprueba el aviso en su Microsoft Authenticator. Al finalizar, Microsoft asume que la víctima autorizó el dispositivo del atacante.

5.   Persistencia: EvilTokens recibe el Access Token y el Refresh Token. El atacante obtiene acceso inmediato e indetectable a SharePoint, Exchange Online y Teams para perpetrar ataques BEC (Business Email Compromise).

¿Por qué fallan las defensas tradicionales?

Desde la perspectiva de los equipos de defensa, esta variante de PhaaS es una pesadilla logística. Los correos maliciosos suelen enviarse desde cuentas previamente comprometidas, eludiendo los filtros de correo seguro (SEG). Además, al no existir una URL maliciosa (todo ocurre en dominios de Microsoft), los sistemas de reputación de red no detectan anomalías.

Estrategias de Mitigación y Respuesta (ITDR)

Para contrarrestar el Device Code Phishing, la estrategia de seguridad debe evolucionar del perímetro de red a la Identidad y el Comportamiento:

•     Deshabilitar el flujo de Device Code: Si la organización no requiere autenticación en dispositivos IoT, este flujo OAuth debe ser deshabilitado completamente en Entra ID.

•     Políticas de Acceso Condicional Estrictas: Exigir que la autenticación solo sea válida si proviene de un dispositivo administrado. Si el token se intenta usar desde una IP o equipo desconocido, el acceso se bloquea instantáneamente.

•     Monitoreo y Threat Hunting: Buscar proactivamente anomalías en los logs de inicio de sesión, alertando sobre autenticaciones exitosas mediante códigos de dispositivo desde ubicaciones inusuales.

•     Revocación Continua: En caso de incidente, el simple reseteo de la contraseña es insuficiente. Es mandatorio revocar todos los Refresh Tokens activos del usuario comprometido.

FUENTES DE INFORMACIÓN:

Hard2bit. (2026, 13 de abril). Device Code Phishing en Microsoft 365: guía práctica. Recuperado de https://hard2bit.com/blog/device-code-phishing-microsoft-365/

WeLiveSecurity. (2026, 19 de mayo). EvilTokens: la campaña de phishing obtiene accesos abusando de un mecanismo legítimo. Recuperado de https://www.welivesecurity.com/es/cibercrimen/eviltokens-phishing-roba-accesos-legitimo-microsoft/