





















La compañía de ciberseguridad ESET ha alertado sobre la aparición de EvilTokens, un novedoso kit de phishing como servicio (PhaaS) diseñado para vulnerar cuentas de Microsoft 365. A pesar de que las empresas utilicen la autenticación multifactor (MFA) —una barrera tradicionalmente efectiva—, esta herramienta logra burlar la autenticación multifactor debido a que opera de manera encubierta a través de servicios legítimos de Microsoft.
En primer lugar, cabe destacar que este enfoque se enmarca en la tendencia del "cibercrimen como servicio", el cual se está empleando en campañas avanzadas que incluso integran inteligencia artificial. De hecho, Josep Albors, director de investigación de ESET España, advierte que los delincuentes están adaptando sus tácticas, por lo que los consejos tradicionales de desconfiar solo de enlaces falsos se están quedando obsoletos.
En concreto, la estrategia de EvilTokens se basa en el flujo de autorización de dispositivos OAuth 2.0, un sistema diseñado originalmente para facilitar el inicio de sesión en aparatos como Smart TVs e impresoras. El proceso comienza cuando los atacantes generan un código de dispositivo válido y lo camuflan en elementos cotidianos como facturas o correos electrónicos.
Posteriormente, la víctima es redirigida a una página web real de Microsoft donde introduce dicho código. Por consiguiente, el usuario autoriza el acceso a un ciberdelincuente sin saberlo. A causa de esto, el fraude es extremadamente difícil de detectar.
Una vez que el atacante obtiene el control, puede exfiltrar información o lanzar ataques BEC, afectando especialmente a áreas sensibles como finanzas, recursos humanos, logística o ventas.
A raíz de esta situación, las organizaciones se enfrentan a dos graves problemas. Por una parte, se eliminan las señales de alerta habituales para identificar un fraude, mientras que, por otra parte, esto obliga a los usuarios a adoptar medidas de seguridad mucho más drásticas y proactivas para no caer en estas nuevas artimañas.
Por lo tanto, para mitigar este riesgo, ESET recomienda desconfiar de solicitudes inesperadas de códigos de autenticación y verificar minuciosamente qué aplicación está solicitando los permisos antes de aprobarlos. Asimismo, es fundamental no asumir que un proceso es seguro solo por ocurrir dentro de una plataforma oficial e informar de inmediato al departamento de TI ante cualquier anomalía.
Finalmente, para los administradores de seguridad de las empresas, la recomendación clave es limitar el uso de los flujos de códigos de dispositivo a menos que sean estrictamente necesarios.
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。