Ataques de phishing con código de dispositivo se multiplican por 37: cómo funcionan y cómo protegerse

Ataques de phishing con código de dispositivo se multiplican por 37: cómo funcionan y cómo protegerse

por

phishing código de dispositivo: Los ataques de phishing con código de dispositivo, una técnica que explota el flujo de autorización de dispositivo (Device Authorization Grant) de OAuth 2.0 para secuestrar cuentas, han experimentado un aumento alarmante de 37 veces durante este año, según los datos más recientes de los investigadores. Desde nuestro laboratorio de análisis en Iberia Intel, hemos monitorizado esta tendencia y podemos confirmar que estamos ante una explosión de campañas maliciosas que aprovechan una funcionalidad legítima diseñada para dispositivos con capacidades de entrada limitadas.

Puntos clave

  • Los ataques de phishing con código de dispositivo han aumentado 37,5 veces en lo que va de 2026.
  • La técnica abusa del flujo OAuth 2.0 Device Authorization Grant, diseñado para IoT y dispositivos sin teclado.
  • Al menos 11 kits de phishing como servicio (PhaaS) ofrecen ahora esta capacidad a ciberdelincuentes de bajo nivel.
  • EvilTokens es el kit más prominente, pero operan múltiples plataformas con lures realistas de SaaS.
  • La mitigación requiere políticas de acceso condicional y monitorización de logs de autenticación.

Cómo funciona el phishing con código de dispositivo

Este tipo de ataque, que nosotros en el sector de la ciberinteligencia clasificamos como de alta sofisticación por su abuso de protocolos legítimos, sigue un patrón engañosamente simple. En primer lugar, el actor de amenaza envía una solicitud de autorización de dispositivo a un proveedor de servicios, como Microsoft Entra (Azure AD). El servicio responde generando un código único, que el atacante envía a la víctima bajo algún pretexto, como la necesidad de verificar su identidad para acceder a un documento compartido. phishing código de dispositivo es clave para entender el alcance de esta amenaza.

La víctima, creyendo que está realizando un paso de autenticación legítimo, introduce ese código en la página de inicio de sesión real del servicio. Al hacerlo, autoriza sin saberlo el dispositivo del atacante, otorgándole tokens de acceso y renovación válidos. El flujo, originalmente diseñado para conectar dispositivos IoT, impresoras o smart TVs, se convierte así en un vector de compromiso perfecto, ya que no requiere que la víctima revele sus credenciales directamente. phishing código de dispositivo es clave para entender el alcance de esta amenaza.

Ilustración metafórica de kits de phishing listos para usar, simbolizando su disponibilidad en mercados clandestinos.
Ilustración metafórica de kits de phishing listos para usar, simbolizando su disponibilidad en mercados clandestinos. — Foto: Eftakher Alam vía Unsplash

El papel de los kits de phishing como servicio (PhaaS)

La democratización de esta técnica es el factor clave detrás del aumento exponencial. Análisis de empresas como Push Security y Sekoia detallan cómo kits de phishing como servicio como EvilTokens han puesto esta capacidad al alcance de ciberdelincuentes con habilidades técnicas limitadas. Estos kits proporcionan infraestructura lista para usar, plantillas realistas y mecanismos de evasión, reduciendo la barrera de entrada para el crimen organizado en línea.

El ecosistema de kits de phishing identificados

Nuestra investigación, cruzando datos de fuentes abiertas y reportes de inteligencia, revela un ecosistema en expansión. Además de EvilTokens, los analistas han identificado y nombrado al menos otros diez kits operativos que ofrecen capacidades de phishing con código de dispositivo. Todos ellos comparten características comunes: uso de señuelos (lures) temáticos de software como servicio (SaaS) muy realistas, implementación de protecciones anti-bot y abuso de plataformas en la nube para alojar su infraestructura maliciosa.

La lista, recopilada inicialmente por Push Security, incluye operaciones con distintos niveles de sofisticación y enfoque:

Infraestructura de servidores en la nube, similar a la que es abusada por estos kits para alojar sus páginas maliciosas.
Infraestructura de servidores en la nube, similar a la que es abusada por estos kits para alojar sus páginas maliciosas. — Foto: Growtika vía Unsplash
  • VENOM: Kit de PhaaS de código cerrado que clona las capacidades de EvilTokens y añade funcionalidades de hombre-en-el-medio (AiTM).
  • SHAREFILE: Utiliza señuelos relacionados con transferencias de documentos de Citrix ShareFile y endpoints backend en Node.js para simular flujos de compartición de archivos.
  • CLURE: Emplea endpoints API rotativos y una puerta anti-bot, con señuelos temáticos de SharePoint e infraestructura alojada en DigitalOcean.
  • LINKID: Aprovecha páginas de desafío de Cloudflare y APIs auto-alojadas, usando señuelos de Microsoft Teams y Adobe.
  • AUTHOV: Kit alojado en workers.dev que utiliza ventanas emergentes para la entrada del código y señuelos de compartición de documentos de Adobe.
  • DOCUPOLL: Alojado en GitHub Pages y workers.dev, imita flujos de trabajo de DocuSign e inyecta réplicas de páginas reales.
  • FLOW_TOKEN: También en workers.dev, usa infraestructura backend en Tencent Cloud y señuelos de Recursos Humanos y DocuSign.
  • PAPRIKA: Alojado en AWS S3, despliega clones de páginas de inicio de sesión de Microsoft con branding de Office 365.
  • DCSTATUS: Kit minimalista con señuelos genéricos de «Acceso Seguro» de Microsoft 365.
  • DOLCE: Implementación alojada en Microsoft PowerApps con señuelos de la marca Dolce & Gabbana, probablemente un desarrollo puntual.

Por qué EvilTokens es el catalizador principal

Según los datos que manejamos, EvilTokens se ha erigido como el principal motor de la adopción masiva de esta técnica. Su modelo de «servicio» permite a los afiliados configurar campañas de forma sencilla, gestionar víctimas y recibir los tokens comprometidos. La investigación de Sekoia lo describe como un ejemplo prominente de cómo un kit de phishing puede «democratizar» un vector de ataque complejo, bajando drásticamente el nivel técnico necesario para ejecutarlo con éxito.

Medidas de mitigación y protección crítica

Desde la perspectiva de la gestión de riesgos en infraestructuras críticas y entornos corporativos, la defensa contra este vector requiere un enfoque por capas. La recomendación fundamental, avalada por los investigadores, es deshabilitar el flujo de autorización de dispositivo cuando no sea estrictamente necesario. Esto se puede lograr mediante políticas de acceso condicional en las plataformas de identidad, restringiendo su uso a grupos de usuarios o contextos específicos donde los dispositivos IoT o sin interfaz de entrada sean un requisito operativo.

Además, es imperativo implementar una monitorización activa y proactiva. Los equipos de seguridad deben revisar regularmente los logs de autenticación en busca de eventos de autorización de dispositivo inesperados, direcciones IP inusuales o sesiones que se originen en ubicaciones geográficas atípicas. La detección temprana de un uso anómalo de este flujo puede ser la única señal de que una cuenta ha sido comprometida mediante este método, ya que el ataque no deja rastros evidentes como un cambio de contraseña.

Monitor mostrando alertas de seguridad y logs de autenticación, clave para detectar eventos de dispositivo sospechosos.
Monitor mostrando alertas de seguridad y logs de autenticación, clave para detectar eventos de dispositivo sospechosos. — Foto: Clay Banks vía Unsplash

Recomendaciones para usuarios finales y administradores

Para los usuarios, la regla de oro sigue siendo la sospecha saludable. Nunca se debe introducir un código de verificación o autorización recibido por correo electrónico, mensaje o cualquier otro canal sin confirmar su legitimidad a través de un medio independiente. Los administradores de sistemas, por su parte, deben educar a sus usuarios sobre esta amenaza específica y considerar la implementación de soluciones de seguridad de acceso a la nube (CASB) o sistemas de detección y respuesta para identidades (IDR) que puedan identificar patrones de comportamiento anómalos relacionados con OAuth.

Conclusión: Un vector en ascenso que exige acción inmediata

El aumento de 37 veces en los ataques de phishing con código de dispositivo no es una anomalía estadística, sino el reflejo de una industrialización del cibercrimen. La disponibilidad de kits de PhaaS sofisticados como EvilTokens ha creado un punto de inflexión, transformando una técnica de ataque relativamente nicho en una amenaza masiva y accesible. La combinación de lures realistas, el abuso de infraestructuras cloud legítimas y la naturaleza «sin credenciales» del ataque lo convierten en un desafío formidable para las defensas tradicionales.

Como analistas, observamos que este fenómeno forma parte de una tendencia más amplia: la explotación de funcionalidades de confianza y protocolos estándar del sector. La respuesta debe ser igualmente sofisticada, moviéndose más allá de la concienciación básica hacia controles técnicos estrictos, monitorización especializada y una reevaluación continua de los riesgos asociados a los flujos de autenticación en nuestros entornos. La ventana de acción para contener esta oleada es ahora.

Equipo de ciberseguridad analizando datos de inteligencia sobre amenazas, evaluando el impacto de estos nuevos kits.
Equipo de ciberseguridad analizando datos de inteligencia sobre amenazas, evaluando el impacto de estos nuevos kits. — Foto: Maxim Tolchinskiy vía Unsplash

Artículos relacionados

¿Tu organización está preparada ante las ciberamenazas?

En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.

→ Conoce nuestros servicios y da el primer paso

Deja un comentario