Una reciente alerta emitida por las autoridades estadounidenses ha puesto el foco sobre Kali365, una peligrosa herramienta que funcionaría para tomar el control de correos y documentos corporativos.
A diferencia de los engaños comunes, esta amenaza detectada en abril de 2026 utiliza inteligencia artificial para que incluso personas con mínimos conocimientos técnicos puedan realizar ataques masivos y altamente efectivos.
La “llave digital” que los hackers buscan robarte
El objetivo principal de esta estafa no es simplemente obtener una contraseña; esto va por los tokens OAuth. Para entenderlo de forma sencilla, estos tokens funcionan como un “pase VIP” o una “llave digital” que le dice al sistema que la víctima ya ingresó la clave y que puede mantener la sesión abierta sin tener que identificarse a cada momento.
Al robar esta “llave”, el delincuente puede entrar a la cuenta de Microsoft 365 y permanecer allí aunque no conozca la contraseña real.
El truco del código: Cómo caen las víctimas
El proceso de este engaño es particularmente astuto porque utiliza sitios web que parecen totalmente confiables. Todo comienza con un correo electrónico que parece ser de una herramienta de trabajo o de una plataforma para compartir archivos.
El mensaje pide ingresar un código de dispositivo en una página oficial y legítima de Microsoft. Al hacerlo, la persona podría pensar que está protegida porque está en el sitio real de la empresa, pero en realidad le están dando permiso al atacante para que use la sesión desde otro lugar.
Una vez que el delincuente obtiene el acceso, puede seguir dentro de su cuenta incluso si la víctima cambia la clave de acceso más tarde.
Históricamente, se ha dicho que la autenticación multifactor (MFA) es casi infalible. Sin embargo, Kali365 ha logrado evadir esta protección.
Esto ocurre porque el ataque no intenta adivinar el código de seguridad que llega al teléfono, sino que clona la sesión que ya está activa y autorizada.
Consejos para mantenerte a salvo
Para evitar ser víctima de esta sofisticada red de engaños, los expertos sugieren seguir estos pasos preventivos:
- Desconfiar de pedidos inesperados: tener cuidado con cualquier correo que pida validar códigos de acceso o autorizar nuevos dispositivos que no hayas solicitado.
- Vigilar las sesiones: Entra de vez en cuando a la configuración de la cuenta de Microsoft para revisar qué dispositivos están conectados.
- Controlar los permisos: Revisar qué aplicaciones tienen permiso para acceder a la información y eliminar aquellas que no sean estrictamente necesarias.