Diario Bernabéu

Encuentra toda la información nacional e internacional sobre españa. Selecciona los temas sobre los que quieres saber más

El FBI alerta sobre Kali365, un sofisticado kit de phishing que roba accesos de Microsoft 365 y esquiva la doble verificación

El FBI alerta sobre Kali365, un sofisticado kit de phishing que roba accesos de Microsoft 365 y esquiva la doble verificación

La nueva amenaza pone en riesgo cuentas corporativas sin necesidad de conocer la contraseña

El Buró Federal de Investigaciones de Estados Unidos (FBI) ha emitido una alerta pública sobre Kali365, una plataforma de phishing-as-a-service diseñada para robar tokens OAuth de Microsoft 365 y acceder a cuentas empresariales sin necesidad de obtener las credenciales tradicionales de los usuarios. La preocupación entre expertos en ciberseguridad crece debido a la capacidad de esta herramienta para sortear la autenticación multifactor (MFA), considerada hasta ahora una de las principales barreras de protección en entornos corporativos.

La amenaza afecta especialmente a organizaciones que utilizan servicios como Outlook, Teams, SharePoint o OneDrive, muy extendidos también entre empresas y administraciones públicas en España y el resto de Europa.

Qué es Kali365 y cómo funciona

Según el FBI, Kali365 fue detectado por primera vez en abril de 2026 y se comercializa a través de Telegram como un servicio criminal listo para usar. El modelo reduce considerablemente la dificultad técnica necesaria para lanzar campañas de phishing, permitiendo que incluso ciberdelincuentes con poca experiencia puedan ejecutar ataques avanzados.

La plataforma incorpora señuelos generados mediante inteligencia artificial, plantillas automatizadas para campañas fraudulentas, paneles de control en tiempo real y herramientas específicas para capturar tokens de autenticación de Microsoft 365.

El modelo de negocio recuerda al funcionamiento de un servicio SaaS convencional, aunque orientado al cibercrimen. Los operadores ofrecen distintos niveles de suscripción, desde accesos básicos para atacantes individuales hasta opciones avanzadas para revendedores y administradores de infraestructura.

Un ataque que evita el robo tradicional de contraseñas

A diferencia del phishing clásico, Kali365 no depende exclusivamente de engañar al usuario para que escriba su contraseña en una página falsa. Uno de sus métodos más efectivos explota el flujo de autenticación mediante código de dispositivo de Microsoft OAuth.

READ  Los creadores de Helldivers 2 quieren que por fin dejes de mirar estadísticas y metadatos y empieces a divertirte

El fraude mediante códigos de dispositivo

El ataque comienza con un correo electrónico que suplanta servicios conocidos de productividad o intercambio de documentos, como Adobe Acrobat Sign, DocuSign o SharePoint. En el mensaje aparece un código de dispositivo junto a instrucciones para introducirlo en una página legítima de Microsoft.

La empresa de ciberseguridad Arctic Wolf, que analizó la campaña en abril, detectó ataques masivos basados en esta técnica conocida como device code phishing.

El problema surge cuando la víctima introduce el código en el portal auténtico de Microsoft creyendo que está realizando un procedimiento legítimo. En realidad, está autorizando el acceso del dispositivo controlado por el atacante.

A partir de ese momento, el ciberdelincuente puede acceder al entorno de Microsoft 365 de la empresa, incluyendo correos electrónicos, conversaciones de Teams, documentos internos y archivos almacenados en la nube.

La autenticación multifactor ya no basta por sí sola

Los expertos insisten en que la autenticación multifactor sigue siendo fundamental, pero ataques como los de Kali365 demuestran que no es una solución infalible.

El sistema no necesita interceptar contraseñas ni vulnerar directamente el segundo factor de seguridad. En su lugar, aprovecha flujos legítimos de autenticación para obtener tokens válidos que permiten entrar en la cuenta como si el acceso hubiera sido autorizado correctamente por el usuario.

Técnicas adversary-in-the-middle

Arctic Wolf también ha identificado funciones de tipo adversary-in-the-middle dentro de Kali365. En estos escenarios, la víctima es redirigida a través de infraestructuras controladas por los atacantes antes de llegar al portal real de Microsoft.

Aunque el usuario completa correctamente el proceso de autenticación multifactor, durante la sesión se capturan cookies y otros elementos de autenticación reutilizables posteriormente por los delincuentes.

READ  ¡Modern Warfare 2 es gratis por más de una semana! Activision comienza con la actualización

El resultado final es el acceso ilegítimo a cuentas corporativas sin necesidad de conocer las credenciales originales.

Riesgos para empresas y organismos

Las consecuencias de este tipo de intrusiones pueden ser especialmente graves para compañías y administraciones que gestionan información sensible en la nube.

Entre los riesgos identificados se encuentran:

Espionaje corporativo y robo de datos

Los atacantes pueden consultar correos electrónicos, descargar documentación interna o acceder a información confidencial de clientes y proveedores.

Fraude financiero

El acceso a cuentas corporativas facilita ataques de fraude mediante transferencia bancaria, modificación de facturas o suplantación de directivos.

Movimiento lateral y ransomware

Una vez dentro de la infraestructura digital, los ciberdelincuentes pueden expandirse a otros sistemas internos y preparar ataques de ransomware o sabotaje informático.

Un negocio global dentro del cibercrimen

Kali365 refleja la creciente profesionalización de los servicios criminales en internet. Según los análisis publicados, la plataforma ofrece soporte en múltiples idiomas, incluidos español, inglés, francés, alemán, portugués, ruso, chino, japonés, árabe y turco.

El coste del servicio ronda los 250 dólares mensuales por usuario o unos 2.000 dólares al año, cifras que evidencian un modelo de negocio estable y organizado.

Desde su aparición, Kali365 ha sido comparado con EvilTokens, otra herramienta centrada en ataques basados en códigos de dispositivo. Microsoft ya había advertido en abril sobre campañas que utilizaban inteligencia artificial para mejorar la credibilidad y eficacia de los mensajes fraudulentos.

Un escenario cada vez más complejo para la ciberseguridad empresarial

La alerta del FBI confirma una tendencia creciente: los ataques informáticos ya no dependen únicamente del robo de contraseñas, sino del abuso de mecanismos legítimos de autenticación y confianza digital.

READ  ¿AMD planea lanzar procesadores Zen 4 en la plataforma AM4? Surgieron rumores sobre el loco plan de los Rojos

Para las empresas, el desafío pasa ahora por reforzar la vigilancia sobre los accesos autorizados, revisar políticas de autenticación y formar a empleados y directivos frente a nuevas técnicas de ingeniería social cada vez más sofisticadas.