Phishing de EvilTokens: La nueva amenaza de IA que burla el MFA

La ciberseguridad corporativa se enfrenta a una de sus pruebas más rigurosas en 2026. Mientras que las organizaciones han invertido miles de millones en fortalecer sus perímetros mediante la Autenticación de Múltiple Factor (MFA), una nueva generación de amenazas ha encontrado una “puerta trasera” en la confianza técnica. El surgimiento del Phishing de EvilTokens representa un cambio de paradigma: ya no se trata de engañar al usuario para que entregue su contraseña en una página falsa, sino de manipularlo para que autorice directamente el dispositivo del atacante dentro del ecosistema oficial de Microsoft.

¿Qué es el Phishing de EvilTokens y por qué es tan letal?

El Phishing de EvilTokens es una operación avanzada de “Phishing-as-a-Service” (PhaaS) que explota el flujo de autorización de dispositivos de OAuth 2.0 (específicamente el RFC 8628). A diferencia del phishing tradicional, que clona interfaces de inicio de sesión para capturar credenciales (AitM), EvilTokens utiliza la infraestructura legítima de Microsoft para validar el acceso.

Este kit, comercializado principalmente en comunidades cerradas de Telegram, permite a atacantes con pocos conocimientos técnicos ejecutar campañas de compromiso de cuentas a gran escala. Su peligrosidad radica en tres pilares fundamentales:

• Legitimidad de la URL: El usuario final realiza la autenticación en microsoft.com/devicelogin, un dominio de absoluta confianza.
• Evasión total de MFA: Dado que el usuario completa el desafío MFA en el sitio real de Microsoft, el sistema de seguridad considera que la sesión es legítima.
• Persistencia prolongada: El ataque no solo roba un token de acceso de corta duración, sino también un refresh token que permite acceso persistente por hasta 90 días.

La anatomía técnica del flujo de código de dispositivo

Para entender el Phishing de EvilTokens, es crucial desglosar el flujo original diseñado por Microsoft. El Device Code Flow fue creado para dispositivos con capacidades de entrada limitadas, como Smart TVs, impresoras o terminales de IoT, donde escribir una contraseña compleja es difícil.

1. El dispositivo (o en este caso, el servidor de EvilTokens) solicita un código a Microsoft.
2. Microsoft devuelve un user_code (un código alfanumérico de 8 dígitos) y una verification_uri.
3. El atacante presenta este código al usuario a través de un señuelo.
4. El usuario ingresa el código en la página oficial de Microsoft y se autentica.
5. El servidor del atacante, que ha estado “sondeando” (polling) el endpoint de Microsoft, recibe los tokens de acceso una vez que el usuario confirma.

El papel de la Inteligencia Artificial y Railway.com

Lo que diferencia a esta campaña detectada en abril de 2026 de intentos anteriores es su integración con modelos de lenguaje de gran escala (LLMs) y plataformas de automatización modernas. Los operadores de Phishing de EvilTokens han industrializado el engaño mediante el uso de Railway.com, una plataforma de infraestructura como servicio (PaaS).

Utilizando la automatización de Railway, los atacantes pueden desplegar miles de nodos de backend efímeros. Cada nodo se encarga de solicitar códigos de dispositivo en tiempo real. Esto resuelve un problema histórico de este tipo de ataques: la caducidad. Normalmente, un código de dispositivo expira en 15 minutos; sin embargo, la IA detecta cuándo un usuario interactúa con el señuelo y genera un código fresco en ese preciso instante, garantizando que el “lazo” esté siempre listo.

Además, la IA se utiliza para generar señuelos hiper-personalizados. Ya no vemos correos genéricos con errores ortográficos. El Phishing de EvilTokens analiza el perfil de la víctima para enviar documentos (PDF, DOCX o SVG) que imitan flujos de trabajo internos:

• Para Recursos Humanos: Notificaciones de actualización de beneficios o revisiones salariales.
• Para Finanzas: Facturas urgentes o discrepancias en auditorías mediante códigos QR integrados.
• Para Operaciones: Solicitudes de acceso a SharePoint o invitaciones de calendario compartidas.

El bypass de MFA: La mayor debilidad de la confianza

El éxito del Phishing de EvilTokens radica en una realidad técnica incómoda: el MFA no es una bala de plata si el usuario se autentica voluntariamente en el portal correcto. Cuando la víctima hace clic en el enlace de EvilTokens, es redirigida a una página intermedia que muestra el código y un botón de “Continuar a Microsoft”.

Al llegar a la página oficial, el usuario introduce el código. Microsoft reconoce que una aplicación (controlada por el atacante) está intentando acceder. El usuario ve su nombre, su imagen de perfil y se le solicita su segundo factor (ya sea una notificación de Microsoft Authenticator o un código SMS). Al completar este paso, el usuario no está protegiendo su cuenta; está entregando la llave maestra al atacante.

Debido a que la autenticación ocurre en el dominio de confianza, herramientas tradicionales como los Secure Email Gateways (SEGs) o los filtros de URL suelen fallar, ya que no detectan una “página de login falsa”. Para el sistema, es una transacción de autenticación perfectamente válida iniciada por el propio usuario.

Post-compromiso: Enriquecimiento de bandejas y MailVault

Una vez que el kit de Phishing de EvilTokens captura los tokens, la verdadera pesadilla comienza. El kit incluye herramientas avanzadas de post-explotación que automatizan el compromiso de correos empresariales (BEC).

Los atacantes utilizan una interfaz denominada “MailVault”, que funciona como un cliente de correo clonado. Mediante IA, el sistema escanea automáticamente la bandeja de entrada de la víctima en busca de palabras clave como “transferencia”, “pago”, “contrato” o “urgente”. Este proceso, conocido como “inbox enrichment”, permite a los criminales entender el contexto financiero de la empresa en cuestión de minutos.

Además, EvilTokens configura reglas de bandeja de entrada automáticas para ocultar sus rastros. Por ejemplo, cualquier correo entrante que contenga la palabra “seguridad”, “código” o “sospechoso” se redirige automáticamente a la carpeta de elementos eliminados o se marca como leído, evitando que la víctima reciba alertas legítimas de Microsoft sobre nuevos inicios de sesión o cambios en la cuenta.

Estrategias de defensa contra el Phishing de EvilTokens

Combatir esta amenaza requiere un enfoque multicapa que vaya más allá de la simple educación del usuario. Los administradores de TI y CISO deben implementar controles técnicos estrictos para mitigar el riesgo del Phishing de EvilTokens.

1. Políticas de Acceso Condicional (Conditional Access): La medida más efectiva es bloquear el flujo de código de dispositivo para todos los usuarios que no lo necesiten estrictamente. En Microsoft Entra ID, es posible crear una política que restrinja este tipo de flujo de autenticación, permitiéndolo solo para cuentas de servicio o dispositivos específicos.
2. Monitoreo de Logs de Inicio de Sesión: Es vital buscar patrones anómalos en los registros de Entra ID. Los inicios de sesión que utilizan el “Device Code Flow” desde ubicaciones geográficas inusuales o IPs asociadas a servicios de nube como Railway.com deben activar alertas de alta prioridad.
3. Implementación de MFA Resistente al Phishing: Aunque EvilTokens puede eludir ciertos tipos de MFA, el uso de llaves de seguridad físicas (FIDO2) y certificados de dispositivo puede dificultar el proceso si se combinan con políticas que exijan que el dispositivo que solicita el acceso esté gestionado por la organización (Intune/Compliant devices).
4. Capacitación Crítica: Los empleados deben ser instruidos específicamente sobre el peligro de ingresar códigos en microsoft.com/devicelogin que no hayan solicitado ellos mismos de forma activa en un dispositivo físico propio (como una impresora). La regla de oro es: Si no tienes el dispositivo frente a ti, no ingreses el código.

El futuro de la identidad digital

El auge del Phishing de EvilTokens es un recordatorio de que los atacantes siempre buscarán el camino de menor resistencia. Al explotar flujos legítimos diseñados para la conveniencia, logran neutralizar las defensas tecnológicas más costosas.

A medida que avanzamos en 2026, la identidad se convierte en el nuevo perímetro. La seguridad ya no puede depender únicamente de “quién eres” (credenciales) o “qué tienes” (MFA), sino de “cómo te estás autenticando”. La visibilidad sobre los flujos de OAuth y la reducción de la superficie de ataque en protocolos heredados o especializados serán los diferenciadores entre las empresas que sobrevivan a esta ola de ataques y aquellas que sucumban al ingenio de la IA maliciosa.

En conclusión, el Phishing de EvilTokens no es solo una herramienta técnica; es una advertencia sobre la fragilidad de la confianza en los sistemas modernos. La automatización extrema y la personalización por IA han cerrado la brecha entre el hacker y el empleado, obligando a las defensas a evolucionar hacia un modelo de “Confianza Cero” (Zero Trust) real, donde cada flujo de autenticación, por más legítimo que parezca, debe ser verificado minuciosamente.