- Kali365 opera como un servicio de suscripción (PhaaS) distribuido principalmente a través de Telegram.
- El ataque utiliza el robo de tokens OAuth para saltarse la autenticación de doble factor (MFA) sin requerir contraseñas.
- Permite que atacantes con pocos conocimientos técnicos lancen campañas sofisticadas gracias al uso de inteligencia artificial.
- La prevención pasa por restringir el flujo de códigos de dispositivo mediante políticas de acceso condicional.
El panorama de la ciberseguridad se ha visto sacudido recientemente por la aparición de Kali365, una plataforma de phishing diseñada específicamente para tomar el control de cuentas de Microsoft 365. Esta herramienta no busca el camino tradicional de robar contraseñas, sino que emplea una técnica mucho más sutil y peligrosa centrándose en el robo de tokens de sesión.
Desde que se detectó su actividad en abril, el FBI ha lanzado diversas alertas para advertir que este sistema funciona bajo un modelo de «Phishing como Servicio» (PhaaS). Básicamente, cualquier persona, aunque no tenga grandes dotes informáticas, puede pagar una suscripción para lanzar ataques masivos y coordinados contra empresas y usuarios particulares en Europa y el resto del mundo.
¿Cómo funciona exactamente el secuestro de cuentas?
El proceso comienza con un correo electrónico muy convincente que suplanta la identidad de servicios de productividad conocidos, como SharePoint, DocuSign o Adobe Acrobat Sign. En lugar de pedir el usuario y la clave, el mensaje insta a la víctima a introducir un código de dispositivo en una página de verificación oficial y legítima de Microsoft.
Cuando el usuario, pensando que está realizando un trámite normal, pega el código en la web oficial, lo que ocurre en realidad es que está autorizando el dispositivo del atacante para que acceda a su cuenta. Es un truco muy hábil porque el usuario interactúa con una página real de Microsoft, lo que reduce las sospechas.
Una vez concedido el acceso, los criminales capturan los tokens de acceso y de actualización de OAuth. Estos tokens son como «llaves maestras» que mantienen la sesión abierta, permitiendo que el hacker entre en el Outlook, Teams o OneDrive de la víctima sin necesidad de pasar por la autenticación multifactor (MFA) ni introducir contraseñas.
Un negocio rentable impulsado por la IA
Lo que hace que Kali365 sea tan preocupante es que ha bajado muchísimo la barrera de entrada para los delincuentes. A través de Telegram, los operadores venden suscripciones que incluyen señuelos generados por inteligencia artificial, plantillas automatizadas y paneles de control en tiempo real para rastrear a sus objetivos.
El modelo de negocio es bastante claro y profesionalizado. Existen diferentes niveles de suscripción, con precios que van desde los 250 dólares por un mes hasta los 2.000 dólares por un año completo de servicio. Esto permite que el ecosistema criminal se expanda rápidamente, ya que los tokens robados pueden incluso ser compartidos o revendidos entre otros atacantes.
Riesgos y medidas de protección
Una vez que el atacante tiene el control de la identidad, el daño puede ser mayúsculo. Pueden dedicarse a robar datos confidenciales para extorsionar a la empresa, realizar fraudes financieros o incluso desplegar ransomware dentro de la red corporativa, todo ello moviéndose con la identidad legítima del usuario secuestrado.
Para evitar caer en esta trampa, los expertos recomiendan tomar medidas técnicas concretas:
- Implementar políticas de acceso condicional para bloquear el flujo de códigos de dispositivo cuando no sea estrictamente necesario para el negocio.
- Realizar auditorías periódicas sobre el uso de estos códigos para detectar patrones sospechosos.
- Restringir las políticas de transferencia de autenticación que permiten mover la sesión entre ordenadores y dispositivos móviles.
Esta nueva modalidad de ataque demuestra que los ciberdelincuentes están evolucionando hacia métodos más fluidos y menos intrusivos, donde el aprovechamiento de protocolos legítimos como OAuth se convierte en el arma principal para saltarse las capas de seguridad tradicionales y lograr un acceso persistente en los entornos corporativos.
