EvilTokens: Nueva Plataforma de Phishing-as-a-Service Compromete 340 Organizaciones Microsoft 365 en Cinco Países
Introducción
En febrero de 2026, la aparición de EvilTokens, una nueva plataforma de phishing-as-a-service (PhaaS), ha marcado un hito preocupante en el panorama de amenazas global. En apenas cinco semanas desde su lanzamiento, EvilTokens ha logrado vulnerar la seguridad de más de 340 organizaciones que utilizan Microsoft 365 repartidas en cinco países. Este caso pone de manifiesto la sofisticación y efectividad creciente de los servicios PhaaS, capaces de sortear controles de autenticación multifactor (MFA) y explotar debilidades operativas en la gestión de identidades.
Contexto del Incidente
El auge de las plataformas PhaaS representa un cambio fundamental en la democratización del cibercrimen. Gracias a estos servicios, actores maliciosos sin elevados conocimientos técnicos pueden desplegar campañas de phishing avanzadas con una mínima inversión y riesgo. EvilTokens se diferencia por su enfoque en el robo de tokens de acceso a través de la manipulación de los flujos legítimos de autenticación de Microsoft 365, explotando procesos ampliamente confiados por los usuarios finales.
El ataque masivo orquestado por EvilTokens se produjo principalmente entre febrero y marzo de 2026 y afectó tanto a empresas privadas como a organismos públicos de sectores críticos. La plataforma ha sido vinculada a campañas coordinadas que han conseguido saltarse controles de MFA y obtener acceso persistente a aplicaciones y datos corporativos alojados en la nube.
Detalles Técnicos
El vector principal de ataque de EvilTokens es una variante del phishing de consentimiento, centrada en el abuso de la página legítima de Microsoft (microsoft.com/devicelogin). Las víctimas reciben mensajes de correo electrónico o SMS que, bajo pretextos de verificación, les solicitan introducir un código en el portal de device login de Microsoft. Este proceso, aparentemente legítimo, desencadena la autenticación normal del usuario, incluyendo el desafío MFA configurado.
Una vez completado el procedimiento, el usuario cree que está verificando su cuenta, pero en realidad está autorizando el acceso a una aplicación OAuth controlada por los atacantes. EvilTokens automatiza la generación y uso de códigos de dispositivo, capturando los tokens de acceso y refresh tokens válidos para la sesión comprometida.
– CVEs relevantes: Aunque la técnica explota flujos legítimos y no vulnerabilidades de software específicas, se relaciona tangencialmente con CVE-2023-23397 (abuso de autenticación en Microsoft Outlook) y CVE-2024-21412 (bypass de autenticación en servicios cloud).
– TTP MITRE ATT&CK: Las técnicas asociadas incluyen T1566.002 (Phishing: Spearphishing via Service), T1550 (Use Alternate Authentication Material), T1078.004 (Valid Accounts: Cloud Accounts).
– Indicadores de compromiso (IoC): Dominios maliciosos que interactúan con device login, aplicaciones OAuth sospechosas registradas en Azure, logs de autenticación anómalos y patrones de acceso geográficamente dispersos.
Se han detectado scripts de automatización desarrollados en Python y PowerShell, así como integraciones con frameworks de ataque como Evilginx2 y la explotación de infraestructuras de Cobalt Strike para persistencia y movimiento lateral.
Impacto y Riesgos
El compromiso de 340 organizaciones supone un impacto directo sobre la confidencialidad, integridad y disponibilidad de los datos corporativos. Los tokens robados permiten a los atacantes acceder a correo electrónico, SharePoint, OneDrive y otras aplicaciones críticas de Microsoft 365, sin necesidad de credenciales ni desafíos MFA adicionales.
Entre los riesgos más destacados se encuentran:
– Exfiltración masiva de información sensible (PII, IP, contratos)
– Acceso indebido a correo interno y documentos confidenciales
– Riesgo de ataques de Business Email Compromise (BEC)
– Propagación lateral hacia otras aplicaciones integradas vía SSO
– Potenciales incumplimientos regulatorios bajo GDPR y NIS2, con sanciones económicas significativas (hasta el 4% de la facturación global anual en caso de GDPR)
Medidas de Mitigación y Recomendaciones
Los equipos de ciberseguridad deben adoptar una postura proactiva para mitigar estos ataques:
1. Revisar y limitar aplicaciones OAuth de terceros en los tenants de Microsoft 365.
2. Monitorizar logs de device login y detectar patrones no habituales.
3. Configurar alertas en Azure AD para consentimientos sospechosos y autenticaciones desde ubicaciones no reconocidas.
4. Implementar controles de acceso condicional reforzados y políticas de Zero Trust.
5. Formar a los usuarios sobre los riesgos del phishing de consentimiento y los flujos legítimos de autenticación.
6. Realizar auditorías periódicas de los permisos concedidos a aplicaciones y revocar accesos innecesarios.
7. Utilizar soluciones EDR y monitorización de tráfico para detectar movimientos laterales y exfiltración de datos.
Opinión de Expertos
Según Raúl Sanz, CISO de una multinacional tecnológica: “Este tipo de campañas ponen de relieve la necesidad de ir más allá del MFA tradicional. El phishing de consentimiento, potenciado por plataformas PhaaS como EvilTokens, utiliza la ingeniería social y los flujos legítimos para saltarse controles avanzados. Es fundamental combinar medidas técnicas con una concienciación robusta del usuario”.
Por su parte, el CERT de España ha alertado sobre el aumento del uso de aplicaciones OAuth maliciosas y recomienda la revisión exhaustiva de los consentimientos en entornos cloud.
Implicaciones para Empresas y Usuarios
La aparición de EvilTokens subraya la importancia de la gestión activa de identidades y accesos (IAM) en entornos cloud. Las empresas deben reforzar la vigilancia sobre integraciones de terceros y monitorizar de forma continua los flujos de autenticación y permisos concedidos. Para los usuarios, la educación y la sospecha ante solicitudes inusuales de autenticación es vital para evitar el compromiso.
Conclusiones
EvilTokens ilustra la evolución y profesionalización del cibercrimen como servicio, y la necesidad de estrategias de defensa multicapa en entornos Microsoft 365. La colaboración entre equipos de seguridad, formación continua y el refuerzo de controles técnicos serán claves para reducir la superficie de exposición ante esta nueva generación de amenazas.
(Fuente: feeds.feedburner.com)