Phishing de código: la nueva amenaza de IA contra Microsoft 365

En el panorama actual de la ciberseguridad, donde los perímetros se han disuelto y la identidad es el nuevo cortafuegos, una amenaza silenciosa pero devastadora ha comenzado a dominar los titulares: el phishing de código, específicamente aquel que abusa del flujo de autorización de dispositivos OAuth 2.0. Las recientes alertas emitidas por Microsoft y otros investigadores de amenazas revelan un incremento sin precedentes en este tipo de ataques, marcando un punto de inflexión en la sofisticación de los actores maliciosos.

Lejos de los ataques de phishing tradicionales que buscan robar una contraseña mediante una página de inicio de sesión falsa, esta nueva modalidad utiliza infraestructura legítima, inteligencia artificial generativa y automatización extrema para engañar a los usuarios. El resultado no es solo la toma de control de cuentas, sino el acceso persistente a información ejecutiva crítica, burlando incluso las implementaciones de autenticación multifactor (MFA) más robustas.

La anatomía del engaño: ¿Qué es el phishing de código?

Para comprender la gravedad de esta amenaza, primero debemos desglosar la técnica. El flujo de OAuth Device Code fue diseñado para dispositivos con capacidad de entrada limitada —como Smart TVs, impresoras, consolas de videojuegos o herramientas de línea de comandos (CLI)— que no pueden gestionar un flujo de inicio de sesión interactivo tradicional en el propio dispositivo.

El proceso estándar funciona así:

• El dispositivo solicita un código de autorización al proveedor de identidad (como Microsoft Entra ID).
• El usuario recibe un código alfanumérico corto (ej. “ABCD-1234”) y se le indica que debe ir a una URL legítima (como microsoft.com/devicelogin) en un navegador de otro dispositivo (su PC o smartphone).
• El usuario ingresa el código, completa la autenticación y, al hacerlo, otorga permiso a la aplicación para acceder a su cuenta.

El phishing de código ocurre cuando un atacante se interpone en este proceso. El actor malicioso inicia el flujo de autorización de dispositivo, recibe el código legítimo y luego, mediante técnicas de ingeniería social altamente persuasivas, engaña a la víctima para que sea ella quien ingrese ese código en la página oficial. En el momento en que la víctima aprueba la solicitud, está autorizando, sin saberlo, la sesión del atacante.

El factor multiplicador: IA y automatización masiva

Lo que diferencia a esta oleada de ataques en 2026 de los intentos pasados es la integración industrializada de herramientas de Phishing-as-a-Service (PhaaS), como las plataformas identificadas recientemente por investigadores de seguridad. La evolución ha sido drástica:

Hiper-personalización con IA

Los atacantes ya no envían correos electrónicos genéricos. Utilizan modelos de lenguaje extenso (LLM) para analizar perfiles profesionales y crear señuelos “hiper-personalizados”. Estos correos electrónicos simulan ser facturas, flujos de trabajo de fabricación, solicitudes de propuestas (RFP) o notificaciones urgentes de recursos humanos, aumentando drásticamente la tasa de interacción de las víctimas.

Generación dinámica y evasión

Anteriormente, los atacantes dependían de códigos estáticos que expiraban en 15 minutos. Hoy, la infraestructura de ataque utiliza una arquitectura de automatización en el backend que genera el código de dispositivo exactamente en el momento en que la víctima hace clic en el enlace malicioso. Esto garantiza que la ventana de validez esté fresca y maximiza la probabilidad de una transición exitosa hacia la toma de control de la sesión.

Uso de infraestructura “fantasma”

Para evitar ser detectados por filtros de seguridad y sistemas de reputación de dominios, los atacantes utilizan una compleja red de redirecciones a través de plataformas legítimas de computación en la nube (PaaS) y servicios de terceros. Al no alojar el sitio de phishing en un dominio sospechoso, los escáneres de seguridad automatizados a menudo pasan por alto la amenaza.

¿Por qué este ataque es virtualmente invisible para el usuario?

Uno de los aspectos más alarmantes del phishing de código es que la víctima **realmente está navegando por un sitio oficial**. No hay certificados SSL falsos, no hay errores ortográficos en la URL, y el candado de seguridad del navegador es legítimo. La confianza del usuario no es traicionada por un sitio falso, sino por la lógica misma del protocolo de autenticación.

Dado que el proceso implica que el usuario se autentique mediante sus métodos normales (incluyendo aplicaciones de autenticador, tokens FIDO o métodos biométricos), el atacante recibe un token de acceso y, en muchos casos, un token de actualización (refresh token). Esto le otorga acceso persistente, lo que significa que incluso si la víctima cambia su contraseña más tarde, el atacante mantiene el acceso a la cuenta a menos que las sesiones activas sean revocadas específicamente.

Estrategias de defensa: Cómo blindar su organización

Ante la sofisticación de esta amenaza, los métodos tradicionales de defensa son insuficientes. La protección requiere un enfoque proactivo y técnico:

1. Revisión de Políticas de Acceso Condicional

La defensa más efectiva es la minimización de la superficie de ataque. Si su organización no requiere explícitamente el uso del flujo de código de dispositivo (especialmente para trabajadores de oficina estándar), **bloquéelo mediante políticas de Acceso Condicional** en Entra ID. Esta simple configuración elimina la capacidad del atacante para iniciar el flujo de autenticación.

2. Monitoreo de OAuth y Logs de Sesión

Las organizaciones deben implementar una visibilidad profunda sobre las aplicaciones que tienen acceso a sus entornos. Es vital auditar periódicamente los permisos otorgados a aplicaciones de terceros y detectar anomalías en los logs de inicio de sesión. Busque patrones de inicios de sesión inusuales desde IPs que no coinciden con la ubicación del usuario o actividad API atípica poco después de una autenticación exitosa.

3. Educación centrada en la “Autorización”, no solo en la “Contraseña”

El entrenamiento de concienciación en ciberseguridad debe evolucionar. Los usuarios deben aprender que **aprobar una solicitud de aplicación es tan peligroso como escribir una contraseña**. Si se les pide que ingresen un código en un navegador, deben ser extremadamente escépticos, especialmente si la solicitud proviene de un correo electrónico o mensaje no solicitado. Es fundamental instruir a los empleados para que verifiquen el nombre de la aplicación y los permisos que está solicitando antes de hacer clic en “Aceptar”.

4. Revocación de tokens

Ante la sospecha de una intrusión por phishing de código, la respuesta debe ser inmediata. No basta con resetear la contraseña del usuario. Los equipos de seguridad deben revocar activamente todos los tokens de refresco y sesiones activas del usuario afectado para expulsar al atacante del entorno.

Conclusión: El nuevo paradigma de la identidad

El auge del phishing de código es un recordatorio de que los atacantes siempre buscarán explotar las costuras de nuestros sistemas de confianza. Al abusar de protocolos diseñados para la conveniencia, han logrado una forma de acceso que ignora las defensas perimetrales tradicionales. La lucha contra estas campañas no se gana con más seguridad en la contraseña, sino con una vigilancia estricta sobre quién y qué tiene permiso para actuar en nombre de nuestros usuarios. En 2026, la seguridad de la identidad ya no se trata de evitar que roben una clave, sino de evitar que cedamos voluntariamente las llaves de nuestro reino.