Campaña de phishing AiTM: Microsoft alerta sobre robo de tokens masivo

El panorama de la ciberseguridad en mayo de 2026 ha sido sacudido por una de las operaciones de ingeniería social más sofisticadas y de mayor alcance registradas hasta la fecha. El 4 de mayo, investigadores de Microsoft Security publicaron un análisis de alta prioridad detallando una masiva campaña de phishing AiTM (Adversary-in-the-Middle) que ha logrado infiltrarse en más de 13,000 organizaciones a nivel global, afectando directamente a más de 35,000 usuarios en cuestión de días. Esta ofensiva no solo destaca por su escala, sino por el uso quirúrgico de tácticas de interceptación de identidad que dejan obsoletos los métodos de autenticación multifactor (MFA) convencionales basados en SMS o notificaciones push.

La anatomía de una crisis: ¿Qué es la campaña de phishing AiTM de 2026?

Para comprender la magnitud de esta amenaza, es fundamental desglosar el término AiTM. A diferencia del phishing tradicional, donde el atacante simplemente crea una página falsa para recolectar nombres de usuario y contraseñas, la campaña de phishing AiTM actúa como un proxy malicioso en tiempo real. El atacante se sitúa físicamente (de forma digital) entre la víctima y el proveedor de identidad legítimo, como Microsoft Entra ID.

Cuando el usuario intenta iniciar sesión, el atacante captura no solo las credenciales, sino también el token de sesión de MFA una vez que el usuario completa el segundo factor de autenticación. Este token es la “llave maestra” que permite al atacante omitir cualquier solicitud de seguridad posterior, permitiéndole el acceso persistente al entorno SaaS de la corporación sin necesidad de volver a interactuar con el usuario. Es, en esencia, un secuestro de identidad en vivo que ocurre mientras la víctima cree estar interactuando con un portal oficial.

El señuelo: Manipulación psicológica y “Código de Conducta”

El éxito de esta campaña radica en su “lure” o señuelo. Los atacantes han abandonado los clásicos correos de “factura impagada” por temas de cumplimiento corporativo que generan una urgencia institucional irresistible. Los correos electrónicos, redactados con una formalidad impecable, instan a los empleados a revisar actualizaciones obligatorias del “Código de Conducta” o a firmar “Avisos de Acción Disciplinaria”.

• Documentos PDF maliciosos: Muchos ataques incluyen archivos adjuntos con nombres como “Awareness Case Log File – Tuesday 14th, April 2026.pdf”.
• Uso de servicios legítimos: Para evitar los filtros de seguridad de correo (SEG), los atacantes utilizan plataformas de marketing por correo electrónico de renombre (como SendGrid o Mailchimp). Al provenir de infraestructuras con alta reputación reputacional, los mensajes llegan directamente a la bandeja de entrada principal.
• Falsas páginas de CAPTCHA: Antes de llegar al portal de login, la víctima es dirigida a una página de validación CAPTCHA. Esto cumple un doble propósito: evadir los escaneos automatizados de seguridad de Microsoft y Google, y reforzar la percepción de legitimidad ante el usuario.

Análisis técnico: El robo del token y el bypass del MFA

El núcleo técnico de la campaña de phishing AiTM es la capacidad de interceptar el Primary Refresh Token (PRT) o las cookies de sesión. En un flujo normal de autenticación, una vez que el usuario introduce su contraseña y aprueba el MFA, el servidor de Microsoft emite una cookie de sesión que el navegador guarda para evitar pedir la contraseña cada cinco minutos. El ataque AiTM captura esta cookie en el aire.

¿Por qué falla el MFA tradicional?
Muchos equipos de IT confían ciegamente en que el MFA es una barrera infranqueable. Sin embargo, métodos como el código por SMS o la aprobación de “un toque” en una aplicación no están vinculados a la sesión del navegador. El atacante, al estar “en medio”, recibe el mismo desafío de MFA que la víctima. Cuando la víctima lo aprueba en su teléfono, el servidor de Microsoft entrega el acceso al atacante, quien es el que técnicamente está “presentando” la solicitud a través del proxy.

Este nivel de sofisticación permite que el actor de la amenaza realice un movimiento lateral inmediato. Una vez dentro de la cuenta, pueden acceder a correos electrónicos sensibles, archivos en SharePoint y, lo más peligroso, utilizar la cuenta comprometida para enviar correos internos a otros empleados, propagando la infección desde una fuente de total confianza.

Estadísticas de impacto: Un ataque dirigido a sectores críticos

Los datos publicados por Microsoft revelan un patrón geográfico y sectorial muy específico. Aunque la campaña es global, el 92% de los objetivos se encuentran en los Estados Unidos, lo que sugiere una motivación económica y geopolítica centrada en el mercado norteamericano. La distribución por sectores muestra un enfoque en industrias donde el acceso a datos personales y financieros es más lucrativo:

1. Sector Salud (Healthcare): 19% – El robo de registros médicos y la extorsión por datos de pacientes sigue siendo el objetivo principal.
2. Servicios Financieros: 18% – La interceptación de transferencias bancarias mediante ataques de Business Email Compromise (BEC) tras el acceso inicial.
3. Servicios Profesionales y Consultoría: 11% – Acceso a propiedad intelectual y datos de clientes de terceros.
4. Tecnología y Software: 11% – Ataques a la cadena de suministro mediante el compromiso de desarrolladores.

Defensas de nueva generación: Cómo mitigar la campaña de phishing AiTM

Ante la obsolescencia del MFA basado en contraseñas de un solo uso (OTP), Microsoft y otras entidades de ciberseguridad instan a una transición acelerada hacia el MFA resistente al phishing. El estándar de oro en 2026 es el uso de FIDO2 (Fast Identity Online 2) y llaves de seguridad físicas.

La importancia de la vinculación de origen (Origin Binding)

La tecnología FIDO2 y las Passkeys derrotan los ataques AiTM gracias a un concepto llamado “vinculación de origen”. Durante el proceso de autenticación, la llave de seguridad (o el chip biométrico del dispositivo) verifica que la URL del sitio web coincida exactamente con la registrada en la credencial. Como el ataque AiTM utiliza un dominio proxy (por ejemplo, login.microsoft.com.malicious-site.com en lugar de login.microsoft.com), la llave FIDO2 detecta la discrepancia y se niega a entregar el token de autenticación. Ninguna acción del usuario, por más convencido que esté, puede forzar esta entrega.

Políticas de Acceso Condicional Basadas en Sesión

Además del hardware, las organizaciones deben implementar políticas de Acceso Condicional (Conditional Access) más agresivas en Microsoft Entra ID. Esto incluye:

• Protección de Token: Implementar controles que aseguren que los tokens solo puedan ser utilizados desde el dispositivo específico que los solicitó originalmente.
• Uso de dispositivos administrados: Bloquear el acceso a recursos corporativos sensibles si el dispositivo no cumple con los requisitos de cumplimiento de la empresa (Intune/MDM).
• Fuerza de Autenticación (Authentication Strength): Configurar políticas que exijan específicamente “Phishing-resistant MFA” para roles críticos o acceso a datos sensibles, eliminando el SMS como opción permitida.

El futuro de la identidad digital en un entorno hostil

La campaña de phishing AiTM reportada en mayo de 2026 es un recordatorio de que la seguridad es una carrera de armamentos constante. Los atacantes han demostrado una capacidad asombrosa para industrializar la interceptación de identidad, utilizando infraestructuras legítimas de nube y automatización avanzada para lanzar ataques que son, para el ojo humano, indistinguibles de las comunicaciones oficiales.

Las organizaciones que sobrevivan a esta nueva era de extorsión digital serán aquellas que entiendan que el perímetro ya no es la red, sino la identidad del usuario. La educación de los empleados sigue siendo vital, pero ya no es suficiente por sí sola. Se requiere una arquitectura de Confianza Cero (Zero Trust) donde la validación técnica sea tan robusta que ni siquiera el error humano más convincente pueda abrir la puerta a los atacantes.

En conclusión, el informe de Microsoft es una llamada a la acción urgente. La transición a métodos de autenticación de hardware no es ya un lujo para empresas de tecnología, sino una necesidad básica para cualquier organización que maneje datos financieros o de salud en 2026. La campaña de phishing AiTM ha demostrado que las llaves del reino digital están siendo robadas en tiempo real; es hora de cambiar las cerraduras por modelos que los atacantes simplemente no puedan duplicar.