Phishing: la peligrosa ciberestafa que puede vulnerar cuentas de Microsoft 365 sin robar contraseñas
El FBI advirtió que la plataforma Kali365 utiliza IA y sistemas oficiales de autenticación para lanzar ataques masivos a través de phishing.
El FBI alertó sobre Kali365, una plataforma capaz de vulnerar cuentas Microsoft 365 sin contraseñas.
Imagen generada por la IAUna nueva plataforma de phishing encendió las alarmas en el mundo de la ciberseguridad por su capacidad para vulnerar cuentas de Microsoft 365 sin necesidad de robar contraseñas. Bautizada como Kali365, esta herramienta fue identificada por el FBI como una amenaza emergente que permite lanzar campañas masivas de ataques incluso a delincuentes con escasos conocimientos técnicos. Su aparición marca un nuevo capítulo en la evolución del cibercrimen: ataques automatizados, potenciados con inteligencia artificial y capaces de aprovechar los propios sistemas de autenticación legítimos de Microsoft.
La advertencia fue emitida en abril de 2026 y rápidamente generó preocupación entre empresas, especialistas y administradores de sistemas, pero recién ahora se estan viendo algunos usuarios persjudicados. Según el informe del FBI, Kali365 se distribuye a través de Telegram bajo el modelo “phishing como servicio” (PhaaS), una modalidad que ofrece herramientas listas para usar a cambio de pagos o suscripciones, facilitando el acceso al delito digital.
-
Te puede interesar
Linux vs. Windows: cuál conviene elegir según el uso que se le dará a la PC
Cómo funciona Kali365 y por qué preocupa a los expertos
A diferencia de los ataques tradicionales, Kali365 no busca obtener directamente las contraseñas de los usuarios. Su método consiste en explotar un sistema legítimo de autenticación conocido como “OAuth 2.0 Device Authorization”, creado originalmente para permitir que dispositivos como televisores inteligentes, impresoras o consolas pudieran iniciar sesión sin teclado.
El mecanismo es tan simple como peligroso. Los atacantes generan un código de vinculación remoto y engañan a la víctima mediante correos electrónicos o mensajes falsificados para que lo introduzca en la página oficial de inicio de sesión de Microsoft. El proceso parece auténtico porque utiliza canales oficiales de la empresa.
Una vez que el usuario completa la autenticación —incluso superando el doble factor de seguridad— Microsoft emite automáticamente un token OAuth que Kali365 captura en segundo plano. Ese token permite acceder a la cuenta de Microsoft 365 sin volver a solicitar credenciales ni activar nuevas alertas de seguridad.
El FBI advirtió que esta técnica representa un cambio de paradigma en el phishing moderno. Los ciberdelincuentes ya no necesitan romper sistemas complejos de contraseñas: ahora manipulan herramientas legítimas creadas por las propias compañías tecnológicas.
Dos modalidades de ataque cada vez más sofisticadas
La firma de ciberseguridad Arctic Wolf analizó la estructura de Kali365 y detectó campañas dirigidas a empresas de distintos países. Según los especialistas, la plataforma opera con un modelo altamente sofisticado y ofrece dos formas principales de ataque.
La primera es el phishing mediante código de dispositivo, que explota directamente el flujo OAuth para robar tokens de autenticación. La segunda modalidad, llamada Cookie Link, utiliza un ataque “Adversary-in-the-Middle”, donde un servidor controlado por los atacantes intercepta las cookies de sesión del navegador inmediatamente después de un inicio de sesión legítimo.
Ambas técnicas permiten tomar el control de cuentas corporativas o personales sin disparar las defensas tradicionales. El problema radica en que las acciones parecen realizadas por el propio usuario desde servicios autorizados.
Además, Kali365 incorpora plantillas automatizadas y ganchos generados con inteligencia artificial, lo que facilita campañas masivas de phishing mucho más convincentes y difíciles de detectar.
Las recomendaciones del FBI para reducir riesgos
Ante el crecimiento de este tipo de amenazas, el FBI pidió a las empresas reforzar urgentemente sus políticas de seguridad en Microsoft 365. Entre las principales recomendaciones figura bloquear o restringir los flujos de autenticación mediante código de dispositivo utilizando herramientas de Acceso Condicional.
También sugieren auditar el uso actual de estos códigos y limitar las transferencias de sesión entre dispositivos, una función que podría ser aprovechada por atacantes para mantener accesos ilegítimos activos.