El FBI advierte sobre Kali365: una nueva amenaza que compromete Microsoft 365
El Federal Bureau of Investigation (FBI) ha emitido una alerta pública sobre una plataforma emergente de Phishing-as-a-Service (PhaaS) identificada como Kali365, detectada por primera vez en abril de 2026. Esta herramienta está facilitando que actores malintencionados obtengan acceso a entornos de Microsoft 365 sin necesidad de interceptar las credenciales tradicionales de los usuarios, logrando así evadir los protocolos de autenticación multifactor (MFA).
La plataforma, distribuida principalmente a través de Telegram, ha reducido considerablemente las barreras de entrada para ciberdelincuentes con menos conocimientos técnicos. Entre sus capacidades, Kali365 ofrece señuelos de phishing generados por inteligencia artificial, plantillas de campañas automatizadas, paneles de seguimiento en tiempo real y, lo más crítico, la capacidad de capturar tokens «OAuth».
¿Cómo funciona este secuestro de cuentas?
El esquema de ataque comienza con un correo electrónico de phishing que suplanta la identidad de servicios legítimos de productividad y almacenamiento de documentos en la nube. El mensaje incluye un código de dispositivo con instrucciones para que el usuario visite una página de verificación real de Microsoft.
Al introducir dicho código en la página oficial, la víctima autoriza involuntariamente al atacante para acceder a su cuenta. En ese momento, el atacante captura los tokens de acceso y actualización de OAuth. Esta técnica permite al actor malintencionado mantener una persistencia en el entorno de Microsoft 365, obteniendo acceso a servicios como Outlook, Teams y OneDrive sin requerir la contraseña del usuario ni superar desafíos adicionales de MFA.
Para mitigar estos riesgos, el FBI recomienda las siguientes medidas de protección:
- Restringir el flujo de códigos de dispositivo para limitar o bloquear esta modalidad de autenticación.
- Implementar políticas de acceso condicional que bloqueen el flujo de códigos de dispositivo para todos los usuarios, estableciendo excepciones únicamente cuando sean estrictamente necesarias para los procesos de negocio.
Esta nueva campaña subraya la importancia de mantenerse alerta ante solicitudes de verificación inusuales, incluso cuando parecen provenir de plataformas de confianza, ya que los atacantes están abusando de mecanismos de autenticación legítimos para eludir la seguridad tradicional.
