Mientras las organizaciones fortalecen sus sistemas con mecanismos como la autenticación multifactor (MFA), los ciberdelincuentes buscan nuevas formas de sortear esas barreras. Una de las más recientes es EvilTokens, un kit de phishing que aprovecha servicios legítimos de Microsoft para engañar a los usuarios y obtener acceso a cuentas corporativas sin levantar sospechas.
La alerta fue emitida por la compañía de ciberseguridad ESET, que identificó esta nueva modalidad de ataque diseñada para comprometer cuentas de Microsoft 365 mediante un proceso de autenticación aparentemente legítimo.
Un ataque que aprovecha la confianza en Microsoft
De acuerdo con ESET, EvilTokens funciona bajo el modelo de phishing como servicio (PhaaS), una modalidad que permite a distintos actores maliciosos acceder a herramientas especializadas para lanzar campañas de fraude digital.
El kit basa su estrategia en el uso de códigos de dispositivo, una función legítima utilizada para iniciar sesión en determinados equipos y aplicaciones. Los atacantes generan un código válido y lo incorporan en correos electrónicos, facturas o solicitudes aparentemente normales dentro del entorno laboral.
El engaño comienza cuando la víctima recibe la solicitud y es dirigida a una página oficial de Microsoft. Allí introduce el código proporcionado y completa el proceso de autenticación creyendo que está realizando una acción legítima.
El director de investigación y concienciación de ESET España, Josep Albors, afirma que “durante años hemos enseñado a los usuarios a desconfiar de enlaces sospechosos o páginas de inicio de sesión falsas, pero ataques como EvilTokens demuestran que los delincuentes están adaptando sus tácticas”.
Por qué la autenticación multifactor no siempre es suficiente
Uno de los aspectos que más preocupa a los especialistas es que este método puede comprometer cuentas incluso cuando están protegidas mediante autenticación multifactor.
La razón es que el usuario no está ingresando sus credenciales en una página falsa, sino que interactúa directamente con una plataforma auténtica de Microsoft. Esto elimina muchas de las señales tradicionales que suelen ayudar a identificar un intento de fraude.
“En este caso, la víctima interactúa con una página legítima de Microsoft y completa un proceso de autenticación real, lo que hace que el fraude resulte mucho más difícil de detectar”, indica Albors para mostrar la peligrosidad de este tipo de técnica que aparece como un acceso legítimo cuando realmente se está autorizando el acceso a un ciberdelincuente.
Según la firma de seguridad, EvilTokens aprovecha el flujo de autorización de dispositivos OAuth 2.0, un sistema ampliamente utilizado para facilitar el inicio de sesión en dispositivos como televisores inteligentes, impresoras conectadas y otros equipos que cuentan con capacidades limitadas de ingreso de datos.
Cómo protegerse de esta nueva modalidad
Ante la sofisticación de este tipo de ataques, ESET recomienda adoptar medidas más proactivas de seguridad y aumentar la vigilancia frente a solicitudes inusuales.
Entre las principales recomendaciones se encuentra desconfiar de cualquier petición inesperada para introducir un código de autenticación, incluso si proviene de una página oficial. También es importante revisar cuidadosamente qué aplicación está solicitando permisos antes de aprobar cualquier acceso.
La compañía insiste en que los usuarios no deben asumir que una solicitud es segura únicamente porque se realiza dentro de un sitio legítimo. Asimismo, aconseja informar de inmediato al departamento de tecnología ante cualquier requerimiento sospechoso relacionado con códigos de acceso.
Por último, los especialistas recomiendan mantenerse atentos a notificaciones de inicio de sesión inusuales y, en el caso de los administradores de sistemas, restringir el uso de los flujos de códigos de dispositivo cuando no sean estrictamente necesarios.
*Con información de Europa Press.