Especial para los seguidores de codigopostalrd.net
WASHINGTON — El Buró Federal de Investigaciones (FBI) ha emitido una alerta urgente a nivel global tras detectar la proliferación de Kali365, una sofisticada plataforma de “Phishing como Servicio” (PhaaS).
Esta herramienta permite a cibercriminales sin experiencia técnica secuestrar cuentas corporativas y personales de Microsoft 365 (incluyendo Outlook, Teams y OneDrive), logrando evadir la autenticación de doble factor (MFA) sin necesidad de robar las contraseñas.
De acuerdo con el informe de la agencia, esta campaña automatizada se distribuye masivamente a través de canales de la aplicación de mensajería Telegram.
Al estar potenciada con algoritmos de inteligencia artificial, la plataforma reduce a cero la barrera técnica. Esto permite que cualquier atacante amateur coordine estafas de ingeniería social altamente efectivas, personalizadas y a gran escala de manera simultánea.
Anatomía del ataque: ¿Cómo opera Kali365?El fraude no explota un fallo de software en los sistemas de Microsoft, sino que abusa del flujo de inicio de sesión legítimo basado en códigos de dispositivo (device code flow).
Los expertos de la agencia detallan el vector de ataque en cuatro fases críticas: El anzuelo: La víctima recibe un correo redactado por IA que simula ser una notificación oficial de Microsoft Teams o un archivo urgente en OneDrive.
El mensaje adjunta un código de verificación e instrucciones engañosas para ingresarlo.La validación real: El usuario hace clic en el enlace y es redirigido al portal de verificación auténtico de Microsoft (://microsoft.com).
Al tratarse de la infraestructura oficial de la empresa, las herramientas de antivirus y pasarelas de correo no detectan anomalías.
El robo del token: Al introducir el código y validar la identidad (incluso superando el segundo factor de autenticación o MFA), el usuario autoriza involuntariamente el acceso de la infraestructura del atacante.
El kit automatizado de Kali365 captura los tokens de acceso OAuth en tiempo real.Acceso persistente: Con estos tokens digitales en su poder, los criminales obtienen “llaves maestras” que no expiran inmediatamente.
Esto les permite revisar correspondencia en Outlook, descargar bases de datos de OneDrive, espiar chats internos en Teams e inyectar ransomware de manera silenciosa durante semanas.Guía de mitigación: Medidas urgentes recomendadas por el FBIAnte el incremento de organizaciones afectadas, las autoridades exigen la implementación inmediata de barreras defensivas diferenciadas según el entorno:Para organizaciones y administradores de TI:Desactivar el flujo de códigos: Configurar políticas de Acceso Condicional (Conditional Access) en Microsoft Entra ID para bloquear por completo la autenticación mediante código de dispositivo, salvo excepciones operativas críticas.
Auditar accesos actuales: Ejecutar una inspección forense inmediata sobre el uso del flujo de códigos para mapear dependencias legítimas antes de aplicar los bloqueos.Restringir transferencias: Impedir que los empleados transfieran credenciales de autenticación activas desde equipos de escritorio hacia dispositivos móviles ajenos a la empresa.
Proteger cuentas de emergencia: Excluir explícitamente de estas restricciones a las cuentas de acceso de emergencia (“break-glass”) para evitar bloqueos del sistema.Para usuarios individuales:Ignorar solicitudes no iniciadas: Jamás introduzcas códigos de verificación en páginas web si no iniciaste un proceso de inicio de sesión de forma manual y consciente en ese segundo.Verificar remitentes y URL: Examinar minuciosamente la dirección del remitente y los hipervínculos del mensaje para detectar sutiles faltas de ortografía o dominios sospechosos.Monitorear el historial: Revisar periódicamente la actividad de inicio de sesión de la cuenta de Microsoft para detectar accesos desde ubicaciones geográficas anómalas o dispositivos desconocidos.
El FBI recuerda que, ante cualquier sospecha de compromiso activo o recepción de estos correos maliciosos, se deben recolectar los encabezados técnicos del mensaje de inmediato y registrar una denuncia formal ante el Centro de Quejas de Delitos en Internet (IC3).