Security

Phishing con device code por AI: campaña escala

3 min de lectura

Resumen

Microsoft Defender Security Research detalló una campaña de phishing a gran escala que abusa del flujo OAuth de device code mediante señuelos generados por AI, generación dinámica de códigos e infraestructura backend automatizada. La campaña eleva el riesgo para las organizaciones porque mejora las tasas de éxito de los atacantes, elude patrones de detección tradicionales y permite el robo de tokens, la persistencia mediante reglas de bandeja de entrada y el reconocimiento con Microsoft Graph.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft ha revelado una evolución importante del phishing con device code, mostrando cómo los atacantes están combinando AI generativa, automatización e infraestructura alojada en la nube para comprometer cuentas de Microsoft a gran escala. Para los equipos de seguridad y los administradores de Microsoft 365, esto es relevante porque la campaña apunta a flujos de autenticación legítimos en lugar de robar contraseñas directamente, lo que dificulta su detección con controles tradicionales.

Qué hay de nuevo en esta campaña

Según Microsoft Defender Security Research, la actividad se basa en técnicas previas de phishing con device code, pero añade varios avances importantes:

  • Señuelos de phishing habilitados con AI: Los atacantes usaron AI generativa para crear correos electrónicos altamente personalizados vinculados a roles laborales y escenarios empresariales como facturas, RFPs y flujos de trabajo de fabricación.
  • Generación dinámica de device code: En lugar de depender de códigos pregenerados que expiran en 15 minutos, el device code se crea solo cuando el usuario hace clic en el enlace de phishing.
  • Infraestructura cloud automatizada: Los actores de amenazas usaron plataformas como Railway, Vercel, Cloudflare Workers y AWS Lambda para desplegar infraestructura de corta duración y cadenas de redirección.
  • Tráfico que se mezcla con el legítimo: Las redirecciones a través de servicios cloud confiables ayudan a que la actividad evite blocklists simples y defensas basadas en reputación.
  • Abuso de tokens tras la intrusión: Una vez que la víctima completa el flujo de inicio de sesión con device login, los atacantes usan el token para exfiltración de correo, creación de reglas de bandeja de entrada y reconocimiento con Microsoft Graph.

Por qué esto es diferente

El phishing tradicional suele intentar capturar credenciales. En este caso, el atacante engaña al usuario para que apruebe una sesión legítima de inicio de sesión de dispositivo de Microsoft que el propio atacante inició. Como la autenticación ocurre en la página real de device login de Microsoft, es posible que los usuarios sospechen menos, y MFA puede ser menos eficaz si la sesión no está fuertemente vinculada al contexto original.

Microsoft también vincula esta tendencia con EvilToken, un toolkit de phishing-as-a-service que impulsa un abuso más amplio de device code. El uso de automatización y AI representa un salto significativo respecto de la campaña Storm-2372 documentada en 2025.

Impacto para los administradores de IT

Los equipos de seguridad e identidad deben prever:

  • Correos de phishing más convincentes dirigidos a usuarios de alto valor
  • Mayor abuso de flujos legítimos de OAuth y de inicio de sesión de Microsoft
  • Compromiso basado en tokens sin robo de contraseñas
  • Persistencia mediante reglas maliciosas de bandeja de entrada y redirección oculta de correo
  • Reconocimiento de la estructura organizativa a través de Microsoft Graph

Acciones recomendadas

Los administradores deben revisar la guía de mitigación de Microsoft y priorizar:

  • Supervisar actividad sospechosa de autenticación con device code
  • Investigar reglas de bandeja de entrada inesperadas y patrones de acceso basados en tokens
  • Reforzar Conditional Access y las directivas de riesgo de inicio de sesión cuando sea posible
  • Capacitar a los usuarios para tratar como sospechosas las solicitudes no solicitadas de device login
  • Buscar redirecciones sospechosas, dominios de suplantación e infraestructura de phishing alojada en la nube

Esta investigación recuerda que las defensas contra phishing ahora deben contemplar el abuso de flujos de autenticación legítimos, no solo páginas de inicio de sesión falsas y contraseñas robadas.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
device code phishingMicrosoft DefenderOAuthtoken theftphishing

Artículos relacionados

Security

Storm-1175 y Medusa ransomware: activos web en riesgo

Microsoft Threat Intelligence advierte que Storm-1175 está explotando rápidamente sistemas vulnerables expuestos a internet para desplegar Medusa ransomware, a veces en solo 24 horas desde el acceso inicial. El enfoque del grupo en fallas recientemente divulgadas, web shells, herramientas RMM y movimiento lateral rápido hace que la velocidad de parcheo, la gestión de la exposición y la detección posterior al compromiso sean fundamentales para los defensores.

Security

Ciberataques con AI aceleran toda la cadena de ataque

Microsoft advierte que los actores de amenazas ya están incorporando AI en todo el ciclo de vida del ciberataque, desde el reconocimiento y el phishing hasta el desarrollo de malware y las operaciones posteriores al compromiso. Para los defensores, esto implica ataques más rápidos y precisos, mayores tasas de éxito en phishing y una necesidad creciente de reforzar la identidad, las protecciones de MFA y la visibilidad sobre superficies de ataque impulsadas por AI.

Security

Webshells PHP con cookies en Linux: evasión

Microsoft advierte que actores de amenazas están usando cookies HTTP para controlar webshells PHP en entornos de hosting Linux, lo que ayuda a que el código malicioso permanezca inactivo salvo que existan valores de cookie específicos. La técnica reduce la visibilidad en registros rutinarios, facilita la persistencia mediante cron jobs y resalta la necesidad de una supervisión más sólida, protección web y detección en endpoints en cargas de trabajo Linux alojadas.

Security

Compromiso de Axios npm: guía de mitigación

Microsoft advirtió que las versiones maliciosas de Axios npm 1.14.1 y 0.30.4 se usaron en un ataque a la cadena de suministro atribuido a Sapphire Sleet. Las organizaciones que usan los paquetes afectados deben rotar secretos de inmediato, volver a versiones seguras y revisar los endpoints de desarrollo y sistemas CI/CD en busca de compromiso.

Security

Preparación de seguridad de infraestructuras críticas 2026

Microsoft afirma que el modelo de amenazas para las infraestructuras críticas ha pasado de ataques oportunistas a accesos persistentes, impulsados por la identidad y diseñados para futuras interrupciones. Para los líderes de TI y seguridad, el mensaje es claro: reducir la exposición, reforzar la identidad y validar ahora la preparación operativa, mientras aumentan las regulaciones y la actividad de los estados nación.

Security

Seguridad de AI: guía práctica para CISOs

Microsoft aconseja a los CISOs proteger los sistemas de AI con los mismos controles básicos que ya aplican al software, las identidades y el acceso a los datos. La guía destaca el mínimo privilegio, las defensas frente a prompt injection y el uso de la propia AI para detectar problemas de permisos antes que los atacantes o los usuarios.