TempMail Ninja
//

Phishing Microsoft 365: La herramienta DEBULL evade la autenticación MFA

8 min de lectura
TempMail Ninja
Phishing Microsoft 365: La herramienta DEBULL evade la autenticación MFA

El peligro de DEBULL: La campaña que redefine el phishing Microsoft 365 abusando del flujo de código de Microsoft

El ecosistema de la ciberseguridad corporativa se enfrenta a una de sus amenazas más elusivas e innovadoras en lo que va del año 2026. Recientemente, investigadores de la firma de seguridad de correo electrónico ZeroBEC identificaron una sofisticada campaña de phishing Microsoft 365 que logra eludir por completo los mecanismos tradicionales de autenticación multifactor (MFA/2FA) sin necesidad de robar contraseñas o clonar portales de inicio de sesión. Esta operación se apoya en una capa de herramientas reutilizable y comercializada bajo el modelo de Phishing-as-a-Service (PhaaS) conocida como DEBULL.

A diferencia de los ataques convencionales de Adversary-in-the-Middle (AitM), que dependen de la creación de páginas web falsas que imitan a la perfección el portal de inicio de sesión de la víctima, DEBULL redirige a los usuarios hacia el portal auténtico y confiable de Microsoft. Al abusar del flujo legítimo de concesión de autorización de dispositivos de OAuth 2.0 (Device Authorization Grant flow), este kit de phishing permite a los atacantes interceptar tokens de acceso persistente, otorgándoles un control total sobre los entornos empresariales de la suite de productividad más utilizada del mundo.

¿Qué es DEBULL y por qué redefine las amenazas de phishing Microsoft 365?

Para comprender la peligrosidad de DEBULL, primero es necesario analizar cómo ha evolucionado el panorama del phishing Microsoft 365 en los últimos años. Históricamente, las organizaciones se sentían seguras al implementar políticas de autenticación de doble factor (2FA/MFA). Los ciberdelincuentes respondieron con proxies inversos como Evilnginx para capturar las credenciales y las cookies de sesión en tiempo real a través de ataques AitM. Sin embargo, estas infraestructuras suelen ser detectadas por firewalls de capa de aplicación, soluciones de seguridad de correo electrónico y herramientas de análisis de reputación de dominios.

DEBULL marca un punto de inflexión al eliminar la necesidad de hospedar páginas de inicio de sesión falsas. Al utilizar la infraestructura oficial de Microsoft para la validación de la identidad del usuario, los atacantes logran neutralizar las alertas de seguridad de los navegadores y de las soluciones de correo electrónico, que ven al usuario interactuando con dominios 100% legítimos (como microsoft.com/devicelogin). La comercialización de DEBULL como un kit de herramientas modular y reutilizable democratiza el acceso a este tipo de vectores de ataque avanzados, permitiendo que incluso actores de amenazas con habilidades técnicas moderadas lancen campañas sumamente efectivas contra objetivos corporativos globales.

Anatomía técnica del ataque: ¿Cómo funciona el abuso del Device-Code Flow?

El flujo de código de dispositivo (Device Authorization Grant) es un protocolo diseñado por el estándar OAuth 2.0 para autenticar a usuarios en dispositivos que no cuentan con una interfaz de entrada de texto cómoda, tales como televisores inteligentes, consolas de videojuegos, impresoras o terminales de línea de comandos. En condiciones normales, el dispositivo genera un código alfanumérico corto y le pide al usuario que ingrese a una URL segura desde su computadora o teléfono móvil para introducir dicho código y validar su identidad. Una vez ingresado el código y aprobada la autenticación, el dispositivo original recibe un token de acceso.

La plataforma DEBULL manipula este proceso mediante una secuencia de ataque meticulosamente estructurada:

  • El señuelo inicial: El atacante envía un correo electrónico de phishing con temática de colaboración o notificaciones urgentes de Microsoft Teams, facturas pendientes o solicitudes de propuestas (RFPs). Estos mensajes instan a la víctima a acceder a un supuesto documento compartido o a unirse a una sesión de trabajo.
  • La redirección silenciosa: Al hacer clic en el enlace del correo, la víctima es dirigida a un sitio web intermedio comprometido. En la campaña detectada a finales de junio y principios de julio de 2026, ZeroBEC descubrió el uso de un portal croata de alquiler de propiedades, el cual fue hackeado para actuar como un “orquestador” de códigos de dispositivo.
  • La solicitud del código en segundo plano: Mientras la víctima navega por la página intermedia, el motor backend de DEBULL realiza una solicitud automatizada al Broker de Autenticación de Microsoft, solicitando un código de autenticación de dispositivo legítimo para una aplicación controlada por el atacante o un cliente confiable (como Microsoft Command Line o Microsoft Teams).
  • La ingeniería social interactiva: El sitio web comprometido muestra a la víctima una pantalla que imita el diseño de Teams o SharePoint, presentándole el código de dispositivo generado en el paso anterior y un enlace directo a la página oficial de inicio de sesión de dispositivos de Microsoft.
  • La validación por la víctima: Convencida de que se trata de un paso necesario para ver el archivo o acceder a la videollamada, la víctima hace clic en el enlace legítimo, ingresa el código proporcionado y completa el proceso de inicio de sesión (incluida la aprobación de su 2FA/MFA en su aplicación autenticadora habitual).
  • Intercepción y secuestro de tokens: Paralelamente, el backend de DEBULL realiza solicitudes constantes (polling) al servicio de autenticación de Microsoft. En el preciso instante en que la víctima aprueba la solicitud en el portal legítimo, Microsoft emite los tokens de acceso y actualización a la aplicación vinculada. El servidor de DEBULL intercepta de inmediato estos tokens y los almacena para el uso del atacante.

El rol de DEBULL: El motor comercializado detrás de la campaña de 2026

La sofisticación de DEBULL no se limita únicamente al abuso del protocolo OAuth 2.0; radica principalmente en la robustez y accesibilidad de su panel de administración. Los investigadores de ZeroBEC descubrieron que DEBULL funciona como un servicio estructurado (Phishing-as-a-Service) que permite a sus operadores configurar y automatizar toda la infraestructura de ataque con unos pocos clics.

El kit incluye características de diseño dinámico y post-explotación extremadamente avanzadas:

  1. Personalización de señuelos (Lures): Los operadores del kit de herramientas pueden definir nombres de página específicos, personalizar las rutas de URL (slugs) y modificar directamente el código HTML, CSS y JavaScript para que el diseño visual coincida de forma exacta con la identidad de marca de la organización objetivo.
  2. Integración con GraphSpy: Las investigaciones señalan que DEBULL utiliza flujos de trabajo derivados de GraphSpy, una conocida herramienta de pruebas de penetración diseñada para la post-explotación de entornos Microsoft 365 y Entra ID. Esto significa que, una vez que el token es secuestrado, el sistema automatiza el reconocimiento interno del inquilino (tenant) de la víctima.
  3. Funcionalidades asistidas por IA: Al igual que otros toolkits modernos como EvilTokens, la plataforma DEBULL incorpora capacidades de inteligencia artificial para agilizar las fases posteriores al compromiso. Estos módulos permiten filtrar miles de correos electrónicos de la víctima en cuestión de segundos, identificar conversaciones financieras críticas (como hilos sobre transferencias o facturas) y redactar correos electrónicos de Business Email Compromise (BEC) hiperpersonalizados que imitan el tono de escritura del usuario afectado.
  4. Rastros de desarrollo en el código: El análisis del backend de DEBULL reveló la presencia de comentarios y variables con marcadores en idioma turco. Aunque esto no permite una atribución concluyente sobre el origen geográfico de los atacantes, ofrece pistas valiosas para que los analistas de inteligencia de amenazas rastreen el desarrollo de este software en foros clandestinos.

El rastro de Storm-2372 y los vínculos con el cibercrimen global

El análisis técnico de la campaña de DEBULL llevada a cabo entre finales de junio y principios de julio de 2026 expone importantes solapamientos tácticos con grupos de amenazas persistentes avanzadas (APT). Específicamente, los analistas de seguridad han trazado paralelismos contundentes con el grupo Storm-2372, un actor de amenazas documentado previamente por Microsoft a principios de 2025.

Storm-2372, cuyos intereses se alinean moderadamente con los del Estado ruso, se destacó por utilizar invitaciones a salas de chat de Microsoft Teams y correos electrónicos altamente dirigidos para implementar campañas masivas de robo de tokens mediante flujos de códigos de dispositivo. El hecho de que la campaña actual de DEBULL utilice señuelos temáticos de colaboración similares sugiere dos posibilidades claras: o bien Storm-2372 ha actualizado sus tácticas implementando este nuevo marco operativo, o bien sus metodologías altamente exitosas han sido empaquetadas, modularizadas y puestas a la venta en el mercado negro de la ciberdelincuencia. Esto último confirmaría la alarmante tendencia de la “comercialización de tácticas de nivel de estado nación”, permitiendo que cibercriminales comunes utilicen tradecraft avanzado para vulnerar empresas de gran escala.

Estrategias de defensa y mitigación en entornos corporativos

Para mitigar eficazmente las amenazas de phishing Microsoft 365 que abusan del Device-Code Flow, las organizaciones no pueden depender de que los usuarios identifiquen enlaces sospechosos o confíen ciegamente en la presencia de una URL oficial de Microsoft. Se requieren controles técnicos estrictos a nivel de inquilino de Entra ID para desactivar o supervisar este vector de ataque de forma proactiva:

  • Deshabilitar o restringir el Device Authorization Grant: Microsoft Entra ID permite a los administradores de seguridad deshabilitar por completo el flujo de código de dispositivo para los usuarios estándar. Salvo que existan necesidades operativas específicas (como el uso masivo de impresoras de red o salas de videoconferencia heredadas), este protocolo debe desactivarse globalmente.
  • Implementar políticas de Acceso Condicional (Conditional Access): Es fundamental configurar directivas de acceso condicional que exijan que los inicios de sesión provengan únicamente de dispositivos administrados (por ejemplo, dispositivos híbridos unidos a Microsoft Entra o marcados como conformes en Intune). Esto impide que el atacante use el token secuestrado en un dispositivo no autorizado, incluso si logra obtenerlo.
  • Filtrado geográfico e IP: Restringir el uso de flujos de código de dispositivo a rangos de direcciones IP de confianza o ubicaciones de red corporativas conocidas. Si un intento de inicio de sesión se origina desde una ubicación anómala, el acceso condicional debe bloquear la solicitud de inmediato.
  • Monitoreo y alertas en tiempo real: Los equipos de seguridad (SOC) deben configurar alertas para detectar anomalías de inicio de sesión asociadas con el flujo de código de dispositivo. Actividades como el registro de múltiples dispositivos de corta duración o el uso de identidades desde sistemas operativos inusuales deben ser tratadas como incidentes de alta prioridad.
  • Capacitación avanzada para usuarios: El entrenamiento tradicional de concientización sobre el phishing debe actualizarse para alertar a los empleados sobre el peligro de ingresar códigos de dispositivo no solicitados. La regla de oro debe ser clara: ningún flujo de trabajo de colaboración habitual (como abrir una hoja de cálculo o ingresar a una reunión) requiere que el usuario digite un código de 8 caracteres en una pantalla web externa.

La irrupción de plataformas como DEBULL demuestra que los atacantes ya no necesitan romper el cifrado de la autenticación multifactor, sino que han aprendido a caminar junto al usuario, aprovechando su propia confianza en las plataformas oficiales para abrir las puertas traseras de la organización. Corregir esta vulnerabilidad operativa es hoy una prioridad absoluta para cualquier administrador de TI que busque salvaguardar su ecosistema de Microsoft 365.

TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.