Phishing Kali365: FBI advierte sobre el robo de tokens en Microsoft 365

El panorama global de la ciberseguridad corporativa enfrenta una de sus amenazas más complejas en lo que va del año. El pasado 21 de mayo de 2026, la Oficina Federal de Investigaciones (FBI), a través del Centro de Denuncias de Delitos en Internet (IC3), emitió la Alerta de Servicio Público I-052126-PSA para advertir sobre el vertiginoso ascenso de un nuevo kit de ataque distribuido de forma masiva en la clandestinidad. Esta plataforma de Phishing-as-a-Service (PhaaS), conocida como phishing Kali365, se detectó inicialmente en abril de 2026 y está transformando la forma en que atacantes con poca experiencia técnica vulneran las infraestructuras en la nube de Microsoft 365.

A diferencia de las campañas convencionales, el phishing Kali365 no busca recolectar credenciales mediante portales falsos que imitan la estética corporativa. En su lugar, explota una función de autenticación legítima diseñada para facilitar el acceso desde dispositivos con capacidades de entrada de texto limitadas. Al secuestrar tokens de acceso de OAuth 2.0 directamente de los servidores de Microsoft, este kit de herramientas permite evadir por completo la Autenticación Multifactor (MFA), dejando desarmadas a las defensas tradicionales de correo electrónico e identidad.

¿Cómo opera el phishing Kali365 y por qué elude el MFA tradicional?

La peligrosidad del phishing Kali365 reside en que abusa del flujo de autorización de código de dispositivo de OAuth 2.0 (regulado técnicamente por el estándar de la industria RFC 8628). Este flujo fue diseñado para que terminales sin teclado o pantalla de visualización completa —como televisores inteligentes, terminal