Puntos clave del ataque de phishing con IA
- Los atacantes están explotando el flujo de autenticación por código de dispositivo (device code) de Microsoft.
- La campaña emplea automatización e IA para generar dinámicamente códigos y aumentar las tasas de éxito.
- El objetivo principal son las cuentas organizacionales, buscando acceso a datos corporativos y entornos en la nube.
- A diferencia del phishing tradicional, esta variante opera a una escala y velocidad difíciles de detectar manualmente.
- La defensa requiere una combinación de vigilancia de logs, políticas de acceso condicional y concienciación específica.
Los ataques de phishing con IA han dado un salto cualitativo peligroso. Desde nuestro laboratorio de análisis, hemos monitorizado cómo una campaña reciente, documentada por los investigadores de Microsoft Defender, está utilizando inteligencia artificial para automatizar el compromiso de credenciales organizativas a una escala inédita. Este método representa una evolución significativa respecto a las técnicas de suplantación de identidad manuales o semiautomáticas que dominaban el panorama hasta hace poco.
El mecanismo de ataque: explotando el flujo de código de dispositivo OAuth
💡 ¿Tu empresa estaría preparada ante un ataque real? En Iberia Intelligence realizamos simulaciones de phishing personalizadas: campañas que replican ataques reales, miden la exposición humana de tu organización y forman a tu equipo para identificar y neutralizar este tipo de engaños antes de que causen un incidente real.
El núcleo de esta campaña reside en el abuso del flujo de concesión de código de dispositivo (OAuth 2.0 Device Authorization Grant). Normalmente, este flujo está diseñado para que usuarios autentiquen dispositivos con pantalla limitada (como consolas de TV o impresoras) introduciendo un código en una página web. Los atacantes han invertido la lógica: generan un código de dispositivo legítimo y, mediante phishing automatizado con IA, engañan a la víctima para que lo introduzca en la página legítima de login de Microsoft (login.microsoftonline.com). ataques de phishing con IA es clave para entender el alcance de esta amenaza.
La víctima, al ver una página real de Microsoft, baja la guardia e introduce el código que le han proporcionado, por ejemplo, a través de un correo electrónico urgente que simula una alerta de seguridad o una necesidad de verificación. En ese momento, el atacante, que está esperando poll en el backend, recibe un token de acceso válido para la cuenta de la víctima. Lo más crítico es que, al realizarse en la página genuina, los mecanismos anti-phishing tradicionales (como verificar la URL) no son efectivos. ataques de phishing con IA es clave para entender el alcance de esta amenaza.
La ventaja de la automatización y la generación dinámica
Lo que distingue a esta campaña y la hace especialmente peligrosa es el uso de automatización e IA. Los sistemas automatizados pueden generar miles de solicitudes de código de dispositivo por hora, asociar cada código a una víctima potencial y monitorizar de forma constante qué códigos han sido canjeados. Según apuntan fuentes del sector, la IA se emplea para personalizar los mensajes de phishing, aumentar la persuasión y gestionar la logística del ataque a gran escala, algo imposible para un equipo humano.
Este nivel de automatización convierte la operación en una «fábrica de compromisos». La tasa de éxito, aunque porcentualmente pueda ser baja, se traduce en un volumen absoluto de cuentas comprometidas muy significativo debido al enorme número de intentos. Una vez dentro, los atacantes buscan persistencia, movimiento lateral dentro de la red y el robo de datos sensibles o el despliegue de ransomware.
Por qué este ataque de phishing con IA es una amenaza superior
Analizando el modus operandi, identificamos tres factores que elevan el nivel de riesgo respecto a campañas anteriores. En primer lugar, la evasión de detecciones basadas en URL. Al no redirigir a un dominio falso, muchas soluciones de seguridad pasan por alto el ataque. En segundo lugar, la escalabilidad. La automatización permite dirigirse a millones de objetivos con un coste marginal. Por último, la persistencia del token. El token robado suele tener permisos amplios y una validez prolongada, dando a los atacantes tiempo de sobra para operar.
Desde nuestro punto de vista en ciberinteligencia, esta táctica no es un hecho aislado. Forma parte de una tendencia clara hacia la industrialización del cibercrimen, donde la IA actúa como multiplicador de fuerza. A día de hoy, en 2026, vemos cómo los grupos amenaza, tanto financieros como patrocinados por estados, están integrando estas capacidades en sus arsenales.
Indicadores de compromiso y detección proactiva
Para los equipos defensivos, la vigilancia debe centrarse en los logs de Azure AD y Microsoft 365. Un indicador clave de compromiso (IOC) es un volumen anómalo de solicitudes del flujo de código de dispositivo (grant_type=device_code) desde una única dirección IP o para un conjunto de usuarios. También hay que monitorizar las actividades posteriores al canjeo del token, como inicios de sesión desde ubicaciones inusuales o la descarga masiva de datos de SharePoint o OneDrive.
Cómo protegerse de los ataques automatizados de phishing con IA
La mitigación de esta amenaza requiere un enfoque en capas. La primera y más obvia es la concienciación del usuario, pero debe ser específica: hay que educar a los empleados en que un código para introducir en una página web legítima también puede ser un vector de ataque. No basta con mirar el candado verde del navegador.
La medida técnica más efectiva es la implementación de políticas de acceso condicional en Azure AD. Se debe restringir o requerir autenticación multifactor (MFA) adicional para el uso del flujo de código de dispositivo, especialmente cuando proviene de redes no confiables o para usuarios con privilegios. Además, se recomienda bloquear o alertar sobre solicitudes de este tipo para cuentas que no suelen utilizar este método de autenticación.
Por último, la monitorización continua es vital. Las soluciones de detección y respuesta extendidas (XDR) y los equipos de ciberinteligencia deben configurar reglas para identificar patrones de actividad asociados a este ataque. La detección temprana puede evitar que un simple robo de credenciales se convierta en una brecha de seguridad catastrófica.
Recursos y fuentes oficiales:
¿Sabrían tus empleados detectar un ataque de phishing real?
En Iberia Intelligence diseñamos simulaciones de phishing y campañas de concienciación a medida. Identificamos qué equipos y perfiles son más vulnerables y reducimos el riesgo de brecha por error humano.