EvilTokens es un nuevo kit de ‘phishing’ con el que los atacantes pueden tener acceso a cuentas corporativas, incluso cuando cuentan con autenticación multifactor (MFA), al operar de forma encubierta a través de servicios legítimos de Microsoft.
`; document.body.appendChild(modalWrapper); let figcaption = modalWrapper.querySelector(«figcaption»); if(figcaption) figcaption.style.display=»none»; modalWrapper.querySelector(«.s-multimedia__close-modal»).addEventListener(«click»,()=>{modalWrapper.remove(); e.style.display=»flex»; if(caption) caption.style.display=»block»;});})})});});
Estas cuentas ni siquiera se salvan de este tipo de ataque cuando utilizan la autenticación multifactor, un sistema que ha servido como una barrera infranqueable para muchos de los ataques cibernéticos que suelen sufrir las organizaciones.
“En este caso, la víctima interactúa con una página legítima de Microsoft y completa un proceso de autenticación real, lo que hace que el fraude resulte mucho más difícil de detectar”, indica Albors para mostrar la peligrosidad de este tipo de técnica que aparece como un acceso legítimo cuando realmente se está autorizando el acceso a un ciberdelincuente.
Esta nueva estratagema, según explica ESET, comienza cuando los atacantes generan un código de dispositivo válido y se incorpora a todos esos componentes y acciones cotidianas de cualquier empleado como un correo electrónico, una factura e incluso solicitudes de acceso a plataformas corporativas.
El gancho para desmoronar las resistencias, que podría tener un empleado ante un ataque de ‘phishing’, sucede cuando es dirigido a una página legítima de Microsoft, en la cual acaba introduciendo dicho código y acaba por completar el proceso de autenticación.
Aquí, Albors alerta de que “este tipo de acceso puede utilizarse posteriormente para el robo de información, la exfiltración de datos o el lanzamiento de ataques de compromiso del correo electrónico corporativo (BEC), especialmente contra departamentos de finanzas, recursos humanos, logística o ventas”.
Que EvilTokens sea capaz de engañar de esta forma a la posible víctima se debe a que utiliza el flujo de autorización de dispositivos OAuth 2.0, que se caracteriza por la comodidad que ofrece para iniciar sesión en dispositivos como Smart TVs o impresoras conectadas.
MIRA: Mundial 2026: las tendencias que marcan la forma de vivir el fútbol en TikTok
Con este tipo de ataque de ‘phishing’, las organizaciones se enfrentan a dos graves problemas. El primero, es que se eliminan muchos de los indicadores con los que se puede identificar que la víctima se encuentra frente a un ataque de esta índole.
El segundo tiene que ver con las recomendaciones, ya que ponen en estado de alarma al usuario que tendrá que tomar medidas más drásticas y proactivas para no caer en estas nuevas artimañas más complejas.
Estas son, según indica ESET, desde desconfiar de cualquier solicitud inesperada para introducir un código de autenticación hasta verificar qué aplicación solicita permisos antes de una aprobación de acceso, al igual que no asumir que una petición es segura solo porque únicamente se produzca en una página legítima.
Otras recomendaciones son informar al departamento de TI ante cualquier solicitud de código, mantenerse alerta ante notificaciones de inicio inusuales y, si se gestiona la seguridad de una empresa, limitar el uso de los flujos de códigos de dispositivo cuando no sean estrictamente necesarios.
