La nueva amenaza pone en riesgo cuentas corporativas sin necesidad de conocer la contraseña
El Buró Federal de Investigaciones de Estados Unidos (FBI) ha emitido una alerta pública sobre Kali365, una plataforma de phishing-as-a-service diseñada para robar tokens OAuth de Microsoft 365 y acceder a cuentas empresariales sin necesidad de obtener las credenciales tradicionales de los usuarios. La preocupación entre expertos en ciberseguridad crece debido a la capacidad de esta herramienta para sortear la autenticación multifactor (MFA), considerada hasta ahora una de las principales barreras de protección en entornos corporativos.
La amenaza afecta especialmente a organizaciones que utilizan servicios como Outlook, Teams, SharePoint o OneDrive, muy extendidos también entre empresas y administraciones públicas en España y el resto de Europa.
Qué es Kali365 y cómo funciona
Según el FBI, Kali365 fue detectado por primera vez en abril de 2026 y se comercializa a través de Telegram como un servicio criminal listo para usar. El modelo reduce considerablemente la dificultad técnica necesaria para lanzar campañas de phishing, permitiendo que incluso ciberdelincuentes con poca experiencia puedan ejecutar ataques avanzados.
La plataforma incorpora señuelos generados mediante inteligencia artificial, plantillas automatizadas para campañas fraudulentas, paneles de control en tiempo real y herramientas específicas para capturar tokens de autenticación de Microsoft 365.
El modelo de negocio recuerda al funcionamiento de un servicio SaaS convencional, aunque orientado al cibercrimen. Los operadores ofrecen distintos niveles de suscripción, desde accesos básicos para atacantes individuales hasta opciones avanzadas para revendedores y administradores de infraestructura.
Un ataque que evita el robo tradicional de contraseñas
A diferencia del phishing clásico, Kali365 no depende exclusivamente de engañar al usuario para que escriba su contraseña en una página falsa. Uno de sus métodos más efectivos explota el flujo de autenticación mediante código de dispositivo de Microsoft OAuth.
El fraude mediante códigos de dispositivo
El ataque comienza con un correo electrónico que suplanta servicios conocidos de productividad o intercambio de documentos, como Adobe Acrobat Sign, DocuSign o SharePoint. En el mensaje aparece un código de dispositivo junto a instrucciones para introducirlo en una página legítima de Microsoft.
La empresa de ciberseguridad Arctic Wolf, que analizó la campaña en abril, detectó ataques masivos basados en esta técnica conocida como device code phishing.
El problema surge cuando la víctima introduce el código en el portal auténtico de Microsoft creyendo que está realizando un procedimiento legítimo. En realidad, está autorizando el acceso del dispositivo controlado por el atacante.
A partir de ese momento, el ciberdelincuente puede acceder al entorno de Microsoft 365 de la empresa, incluyendo correos electrónicos, conversaciones de Teams, documentos internos y archivos almacenados en la nube.
La autenticación multifactor ya no basta por sí sola
Los expertos insisten en que la autenticación multifactor sigue siendo fundamental, pero ataques como los de Kali365 demuestran que no es una solución infalible.
El sistema no necesita interceptar contraseñas ni vulnerar directamente el segundo factor de seguridad. En su lugar, aprovecha flujos legítimos de autenticación para obtener tokens válidos que permiten entrar en la cuenta como si el acceso hubiera sido autorizado correctamente por el usuario.
Técnicas adversary-in-the-middle
Arctic Wolf también ha identificado funciones de tipo adversary-in-the-middle dentro de Kali365. En estos escenarios, la víctima es redirigida a través de infraestructuras controladas por los atacantes antes de llegar al portal real de Microsoft.
Aunque el usuario completa correctamente el proceso de autenticación multifactor, durante la sesión se capturan cookies y otros elementos de autenticación reutilizables posteriormente por los delincuentes.
El resultado final es el acceso ilegítimo a cuentas corporativas sin necesidad de conocer las credenciales originales.
Riesgos para empresas y organismos
Las consecuencias de este tipo de intrusiones pueden ser especialmente graves para compañías y administraciones que gestionan información sensible en la nube.
Entre los riesgos identificados se encuentran:
Espionaje corporativo y robo de datos
Los atacantes pueden consultar correos electrónicos, descargar documentación interna o acceder a información confidencial de clientes y proveedores.
Fraude financiero
El acceso a cuentas corporativas facilita ataques de fraude mediante transferencia bancaria, modificación de facturas o suplantación de directivos.
Movimiento lateral y ransomware
Una vez dentro de la infraestructura digital, los ciberdelincuentes pueden expandirse a otros sistemas internos y preparar ataques de ransomware o sabotaje informático.
Un negocio global dentro del cibercrimen
Kali365 refleja la creciente profesionalización de los servicios criminales en internet. Según los análisis publicados, la plataforma ofrece soporte en múltiples idiomas, incluidos español, inglés, francés, alemán, portugués, ruso, chino, japonés, árabe y turco.
El coste del servicio ronda los 250 dólares mensuales por usuario o unos 2.000 dólares al año, cifras que evidencian un modelo de negocio estable y organizado.
Desde su aparición, Kali365 ha sido comparado con EvilTokens, otra herramienta centrada en ataques basados en códigos de dispositivo. Microsoft ya había advertido en abril sobre campañas que utilizaban inteligencia artificial para mejorar la credibilidad y eficacia de los mensajes fraudulentos.
Un escenario cada vez más complejo para la ciberseguridad empresarial
La alerta del FBI confirma una tendencia creciente: los ataques informáticos ya no dependen únicamente del robo de contraseñas, sino del abuso de mecanismos legítimos de autenticación y confianza digital.
Para las empresas, el desafío pasa ahora por reforzar la vigilancia sobre los accesos autorizados, revisar políticas de autenticación y formar a empleados y directivos frente a nuevas técnicas de ingeniería social cada vez más sofisticadas.

Fermín Picano es colaborador de Diario Bernabéu y se dedica a la cobertura de temas de actualidad, deportes, negocios, tecnología, entretenimiento y estilo de vida. Su trabajo se centra en ofrecer información clara, precisa y fácil de entender, ayudando a los lectores a mantenerse al día con los acontecimientos más relevantes. Con un enfoque en el contexto y la utilidad de cada historia, busca presentar contenidos informativos y de interés para una audiencia amplia y diversa.

More Stories
Aston Martin y Call of Duty presentan el Dreadnought, un superdeportivo militar con motor V12 para Modern Warfare 4
Google Earth recupera su simulador de vuelo: ya es posible pilotar un avión directamente desde el navegador
Microsoft presenta sus nuevos modelos de IA y asegura que ya compiten con los líderes del sector