El FBI alerta sobre Kali365, un nuevo ataque phishing que secuestra tokens de inicio de sesión de Microsoft sin robar contraseñas
Telegram se ha llenado de herramientas para romper la verificación en dos pasos de Microsoft, el FBI advierte que es una estafa casi imposible de detectar.
La ciberseguridad se ha convertido en una de las principales preocupaciones del FBI, el servicio de inteligencia estadounidense advierte a los usuarios de continuas amenazas con técnicas como phishing. Microsoft es la nueva víctima con el ataque conocido como Kali365.
El FBI advierte que los tokens de acceso de Microsoft 365 son el nuevo objetivo de una plataforma de phishing como servicio (PhaaS, por sus siglas en inglés) llamada Kali365. La estafa se ha detectado por primera vez en abril de 2026.
Una forma de romper la autenticación de Microsoft
Kali365 se ha distribuido a través de Telegram durante el último mes. Los ciberdelincuentes pueden obtener tokens de acceso a Microsoft 365 con esta herramienta y romper la autenticación multifactor sin necesidad de robar las credenciales de los usuarios.
“Kali365 reduce las barreras de entrada, proporcionando a los atacantes con menos conocimientos técnicos acceso a señuelos de phishing generados con IA, plantillas de campaña automatizadas, paneles de seguimiento de individuos/entidades específicos en tiempo real y capacidades de captura de tokens OAuth”, comenta el organismo estadounidense.
Este tipo de ataque es extremadamente simple. Los estafadores engañan a los usuarios para que inicien sesión en su cuenta de Microsoft a través de una herramienta de autenticación legítima, luego roban sus tokens de acceso. Este fraude es casi indetectable.
El ataque comienza con un correo electrónico
Este tipo de ciberataques tienen un patrón común, la mayoría se inician con un correo electrónico que suplanta la identidad de un servicio e incluye un código del dispositivo desde el que se está iniciando sesión. Los estafadores aportan las instrucciones para acceder a una página de verificación legal de Microsoft, nada lleva a sospechar.
A continuación, la víctima autoriza el acceso desde ese dispositivo e introduce el código de verificación. El ciberataque acaba de comenzar sin saberlo, ahora el atacante puede guardar los tokens de acceso y actualización de OAuth para seguir accediendo a Microsoft 365 y todas sus aplicaciones como Outlook, Teams y OneDrive.
El estafador no necesitará una contraseña ni realizar la autenticación multifactor (MFA), tiene acceso ilimitado a la cuenta de Microsoft. Desde el FBI advierten que esta práctica se está popularizando durante este año.
Kali365 es solo el inicio, los servicios de phishing se multiplican en Telegram. Los investigadores han alertado de otras plataformas PhaaS como EvilTokens, que proporciona campañas de phishing prefabricadas de inicio de sesión, automatización de la API de Microsoft y correos generados con inteligencia artificial.