El ecosistema de amenazas digitales continúa evolucionando y, en los últimos meses, las cuentas corporativas de Microsoft 365 se han convertido en un objetivo prioritario. Las campañas de phishing ya no se limitan al robo clásico de contraseñas, sino que ahora aprovechan flujos legítimos de autenticación para engañar a los usuarios y obtener acceso completo a entornos empresariales.
Este cambio de tendencia preocupa especialmente a los equipos de seguridad, ya que los atacantes están abusando de mecanismos diseñados para mejorar la experiencia del usuario. Al apoyarse en procesos oficiales de Microsoft, los correos, cuentas y páginas fraudulentas resultan cada vez más creíbles, lo que incrementa de forma notable la tasa de éxito de estos ataques.
El phishing por códigos de dispositivo como nueva vía de ataque
La técnica que está ganando protagonismo se basa en el flujo de autorización por código de dispositivo de OAuth 2.0. Este método permite iniciar sesión en aplicaciones cuando no es posible introducir credenciales directamente, generando un código temporal que el usuario debe validar en un portal oficial. El problema surge cuando ese proceso es activado por un actor malicioso y el usuario, convencido por ingeniería social, completa la verificación sin ser consciente de las consecuencias.
Investigaciones recientes han detectado múltiples clústeres de amenazas, tanto con motivación económica como con posible alineación estatal, utilizando este enfoque para comprometer cuentas de Microsoft 365.
Una vez que el usuario introduce en las cuentas el código en la página legítima de Microsoft, el atacante obtiene un token de acceso válido que le concede control sobre la cuenta. Desde ese momento, la puerta queda abierta a la exfiltración de información, al acceso a correos internos y a movimientos laterales dentro de la organización.
Campañas más amplias y un uso cada vez más sistemático en las cuentas
Aunque el phishing por código de dispositivo no es una técnica completamente nueva, su uso se ha intensificado de forma llamativa desde finales de 2025. Los investigadores han observado campañas mucho más amplias de lo habitual, con mensajes enviados a gran escala y señuelos cuidadosamente adaptados al contexto corporativo.
En muchos casos, el primer contacto llega a la cuenta mediante un correo electrónico que incluye una URL camuflada en un botón, un enlace de texto o incluso un código QR. Al acceder, el usuario es dirigido a una página que imita procesos habituales de la empresa, como la revisión de documentos, notificaciones de seguridad o supuestas reautorizaciones de sesión.
El flujo continúa hasta que se presenta en la cuenta un código que se describe como un elemento de verificación o un paso adicional de seguridad, cuando en realidad es el punto crítico que concede el acceso al atacante.
Herramientas que facilitan ataques más sofisticados
El auge de estas campañas está directamente relacionado con la disponibilidad de herramientas especializadas. Plataformas como SquarePhish2 permiten automatizar el abuso del flujo de autorización por código de dispositivo, reduciendo la complejidad técnica necesaria para lanzar ataques efectivos. Estas herramientas imitan procesos legítimos, como la configuración de la autenticación multifactor, lo que incrementa la confianza del usuario y disminuye las sospechas.
SquarePhish2, por ejemplo, puede generar códigos de dispositivo y redirigir a los usuarios a páginas oficiales de Microsoft mientras el servidor del atacante gestiona el flujo OAuth en segundo plano. Una vez validado el código, la herramienta recupera el acceso autorizado y permite explotar la cuenta comprometida. Su facilidad de uso ha ampliado el número de actores capaces de ejecutar este tipo de campañas, incluso sin conocimientos avanzados.
El papel de los kits gráficos y los ataques AiTM
A estas herramientas se suman kits de phishing más completos, como Graphish, que incorporan técnicas de adversario en medio. Estos sistemas combinan proxies inversos con páginas falsas altamente realistas, interceptando credenciales y sesiones completas incluso cuando el usuario supera desafíos de autenticación multifactor.
El uso de registros de aplicaciones en Azure y certificados SSL válidos refuerza la credibilidad de los dominios fraudulentos. De esta forma, los atacantes no solo obtienen credenciales, sino también sesiones activas, lo que facilita una toma de control total de la cuenta y un acceso prolongado a recursos sensibles.
Casos recientes y señuelos personalizados
Entre las campañas detectadas en las cuentas destacan aquellas que simulan comunicaciones internas relacionadas con salarios, beneficios o documentos compartidos. Mensajes que aparentan provenir de compañeros o departamentos legítimos invitan a revisar archivos con títulos verosímiles, lo que incrementa la tasa de interacción.
Una vez que el usuario introduce su dirección de correo, se le muestra un código acompañado de instrucciones claras para validarlo en el portal oficial de Microsoft. El hecho de que la validación se realice en una URL auténtica refuerza la sensación de legitimidad, aunque en realidad se está concediendo acceso a una aplicación controlada por el atacante.
Actores alineados con estados y espionaje digital
Además del cibercrimen con fines económicos, se ha identificado el uso de esta técnica en campañas de espionaje en cuentas. Desde principios de 2025, varios grupos presuntamente alineados con intereses estatales han adoptado el phishing por código de dispositivo como parte de sus operaciones.
Estos actores suelen establecer primero un contacto benigno, construyendo una relación previa con el objetivo antes de enviar el enlace malicioso. Se han observado campañas dirigidas a sectores sensibles como gobiernos, centros de pensamiento, universidades y transporte, especialmente en Europa y Estados Unidos. El uso de cuentas de correo previamente comprometidas añade una capa adicional de credibilidad al ataque.
Impacto real en las organizaciones
Un compromiso exitoso de una cuenta de Microsoft 365 no se limita a la lectura de correos. Puede derivar en la descarga de documentos confidenciales, la manipulación de información interna, la suplantación del usuario para nuevos ataques y la persistencia del atacante en el entorno corporativo.
En organizaciones grandes, una sola cuenta comprometida puede convertirse en el punto de entrada para incidentes de mayor alcance.
Reforzar defensas en cuentas frente a esta amenaza
Ante este escenario, expertos de Proofpoint recomiendan revisar las políticas de acceso condicional y, siempre que sea posible, restringir o bloquear el uso del flujo de código de dispositivo. En entornos donde sea necesario mantenerlo, se aconseja limitarlo a usuarios, ubicaciones o dispositivos específicos que estén debidamente gestionados. Toda protección en las cuentas es importante.
La concienciación de los empleados también resulta clave. Los programas de formación deben ir más allá de la verificación de enlaces y explicar de forma explícita que nunca se deben introducir códigos de dispositivo recibidos por correo o mensajes inesperados, incluso cuando el portal de validación sea legítimo.
La proliferación de estas campañas en las cuentas demuestra que los atacantes continúan adaptándose a los controles de seguridad modernos. A medida que la autenticación sin contraseña gana terreno, el abuso de flujos legítimos se perfila como una de las principales amenazas para los entornos corporativos en los próximos años. Tener las cuentas protegidas al máximo es una obligación.
