Phishing OAuth 2.0: Incremento masivo de ataques en 2026

En el panorama de amenazas cibernéticas de abril de 2026, una tendencia inquietante ha captado la atención de expertos en seguridad global: el vertiginoso aumento del phishing OAuth 2.0 mediante el flujo de autorización de dispositivos. Lo que comenzó como una técnica de nicho utilizada por actores estatales se ha transformado en una epidemia criminal, impulsada por la democratización de herramientas automatizadas. Según los datos más recientes, la detección de páginas diseñadas para este propósito ha experimentado un incremento del 37.5x, superando con creces el aumento del 15x registrado hace apenas un mes. Este fenómeno no es solo una estadística más; representa un cambio sísmico en la forma en que los atacantes están eludiendo las defensas modernas.

La anatomía de una vulnerabilidad legítima

Para comprender la magnitud de esta amenaza, debemos analizar cómo los ciberdelincuentes están explotando un componente fundamental de la arquitectura de identidad moderna: el flujo de OAuth 2.0 Device Authorization Grant (definido en el estándar RFC 8628). Este protocolo fue diseñado con un propósito noble y funcional: permitir que dispositivos con capacidades de entrada limitadas —como televisores inteligentes, impresoras IoT o herramientas de línea de comandos (CLI)— puedan autenticarse de forma segura en servicios en la nube sin requerir un teclado o un navegador completo en el dispositivo en sí.

El flujo es elegante en su simplicidad:

1. El dispositivo solicita un código al servidor de autorización.
2. El servidor proporciona un código corto (user_code) y una URL de verificación (verification_uri).
3. El usuario debe acceder a esa URL desde un dispositivo capaz (su computadora o teléfono), ingresar el código y completar el proceso de autenticación, que suele incluir el Multi-Factor Authentication (MFA).
4. Una vez completado, el dispositivo inicial obtiene los tokens de acceso necesarios.

El phishing OAuth 2.0 manipula este proceso legítimo de forma brillante. Los atacantes inician la solicitud por su cuenta, obtienen el código y la URL, y luego envían estos datos a la víctima mediante tácticas de ingeniería social. El mensaje engaña al usuario para que visite la página real de Microsoft o Google e ingrese el código proporcionado. En el momento en que la víctima pulsa “Aceptar”, está otorgando conscientemente al dispositivo del atacante —sin saberlo— permisos totales sobre su cuenta. El usuario, al completar la autenticación y el MFA, está validando involuntariamente la sesión del atacante, convirtiendo la medida de seguridad más fuerte de la empresa en su propia debilidad.

Democratización del cibercrimen: Phishing-as-a-Service

La explosión de estas cifras en 2026 no se debe a un aumento repentino en la habilidad de los hackers individuales, sino a la proliferación de kits de Phishing-as-a-Service (PhaaS). Herramientas como “EvilTokens”, “VENOM” y “SHAREFILE” han simplificado drásticamente el proceso, permitiendo incluso a actores de baja cualificación técnica ejecutar campañas a gran escala con una eficacia aterradora.

EvilTokens y la automatización del engaño

Entre estos kits, EvilTokens destaca como el exponente más avanzado. Opera a través de bots de Telegram que facilitan la administración de campañas, el despliegue de plantillas de correo electrónico persuasivas (a menudo generadas por modelos de IA para adaptarse al lenguaje corporativo) y la gestión de la infraestructura de backend. Una vez que la víctima ingresa el código, el kit captura instantáneamente los tokens de acceso y actualización, permitiendo al atacante:

• Acceder silenciosamente a buzones de correo y aplicaciones SaaS.
• Exfiltrar documentos confidenciales de SharePoint y OneDrive.
• Realizar reconocimientos internos aprovechando la API de Microsoft Graph.
• Establecer persistencia intercambiando tokens de corta duración por otros de mayor longevidad.

La sofisticación técnica de VENOM y otros

Mientras EvilTokens se enfoca en la escalabilidad, otros kits como VENOM han introducido capas adicionales de evasión. Estas herramientas emplean a menudo técnicas de ofuscación de código, como la construcción de códigos QR mediante caracteres Unicode para eludir escáneres de seguridad tradicionales que analizan imágenes simples. Además, incorporan “puntos de control” diseñados para filtrar bots, entornos sandbox y analistas de seguridad, asegurando que solo el objetivo previsto vea la página de phishing real.

El impacto en la postura de seguridad empresarial

La razón por la que este tipo de ataque es tan difícil de detectar radica en que no se rompe ninguna regla técnica. Desde la perspectiva del proveedor de identidad (como Entra ID o Google Workspace), no hay una violación de credenciales, no hay intentos de fuerza bruta y no hay una página web maliciosa que bloquear por reputación. Todo ocurre en dominios legítimos y reconocidos. El usuario, por su parte, se siente seguro porque el proceso de autenticación que realiza es idéntico al que utiliza diariamente para sus dispositivos de trabajo.

El impacto en personas de alto valor, como ejecutivos y departamentos financieros, es devastador. Los atacantes no buscan una captura masiva de contraseñas, sino un “acceso persistente” que les permita monitorizar comunicaciones, alterar hilos de correos electrónicos para fraudes de facturación (Business Email Compromise, BEC) y robar propiedad intelectual durante semanas o meses antes de ser detectados.

Cómo defenderse ante el asalto del phishing OAuth 2.0

Los equipos de seguridad deben reconocer que los controles perimetrales tradicionales son insuficientes. La lucha contra el phishing OAuth 2.0 requiere un enfoque de defensa en profundidad centrado en la identidad y la visibilidad de las aplicaciones consentidas.

• Bloqueo de flujos de dispositivos: La medida técnica más contundente es utilizar políticas de Acceso Condicional (como en Microsoft Entra ID) para deshabilitar completamente el flujo de autorización de dispositivos en toda la organización. Si se requiere para casos de uso específicos (por ejemplo, herramientas de desarrollo), se debe limitar estrictamente mediante una lista de permitidos basada en ubicaciones, dispositivos gestionados o perfiles de usuario.
• Auditoría continua de aplicaciones consentidas: Las empresas deben implementar revisiones regulares de las aplicaciones de terceros que tienen permisos sobre sus recursos. El uso de herramientas de gestión de identidad para identificar y revocar consentimientos excesivos o sospechosos es crítico.
• Monitoreo de señales anómalas: Aunque la autenticación sea legítima, los logs de inicio de sesión pueden revelar discrepancias. La detección debe centrarse en comportamientos inusuales, como inicios de sesión desde direcciones IP inusuales, el uso de agentes de usuario (User-Agents) que no coinciden con la flota de dispositivos de la empresa, o el acceso a recursos de forma inusualmente rápida tras un evento de autenticación.
• Educación consciente y resistencia humana: Los empleados deben ser formados específicamente sobre este riesgo. El entrenamiento no debe ser un ejercicio de cumplimiento más, sino una explicación práctica sobre por qué nunca deben ingresar un “código de dispositivo” en respuesta a una solicitud inesperada, independientemente de lo legítima que parezca la plataforma.

El aumento del 37.5x en estos ataques es una llamada de atención. El phishing OAuth 2.0 ha demostrado que la conveniencia de la nube y la interconectividad de las aplicaciones empresariales pueden convertirse rápidamente en una vulnerabilidad si no se gestionan con rigor técnico. La seguridad, en 2026, ya no se trata solo de proteger la contraseña; se trata de asegurar la integridad de la sesión de principio a fin.