Robo de sesiones: Cómo Storm y EvilTokens evaden el 2FA

El panorama de la ciberseguridad ha dado un giro inquietante este abril de 2026. La era donde la autenticación de doble factor (2FA) se consideraba un bastión inexpugnable ha llegado a su fin técnico, víctima de una nueva clase de amenazas que han hecho del robo de sesiones su arma predilecta. Con la aparición de plataformas como el infostealer “Storm” y el kit de Phishing-as-a-Service (PhaaS) “EvilTokens”, los atacantes ya no necesitan robar contraseñas; simplemente toman prestada su sesión activa para entrar como si fueran usted, directamente por la puerta principal.

La evolución del ataque: Del robo de credenciales al secuestro de identidad

Durante años, el objetivo principal de los actores maliciosos era obtener el nombre de usuario y la contraseña. Sin embargo, con la adopción generalizada de la autenticación de múltiples factores (MFA), este modelo se volvió menos efectivo. La industria respondió, pero los atacantes fueron más rápidos. Han cambiado el enfoque: en lugar de intentar superar la barrera de la contraseña y el segundo factor, la están rodeando por completo.

Tanto “Storm” como “EvilTokens” explotan una realidad fundamental de la web moderna: los navegadores confían en tokens de sesión y cookies para mantenerle autenticado sin que tenga que introducir sus credenciales en cada clic. Si un atacante roba esos tokens, para el servidor de aplicaciones, el atacante es usted.

¿Qué es el “Storm” infostealer?

El infostealer “Storm” ha marcado un punto de inflexión en el desarrollo de malware. A diferencia de sus predecesores, que intentaban descifrar las contraseñas almacenadas localmente en el dispositivo de la víctima —una técnica que dejaba rastros claros detectables por las herramientas de seguridad—, Storm es radicalmente más sigiloso.

Storm opera bajo un modelo de “cifrado remoto”. El malware extrae los archivos cifrados que contienen las credenciales, las cookies y los tokens de sesión, y los envía directamente a la infraestructura del atacante. La decodificación se realiza en servidores controlados por los delincuentes, lejos del alcance de su antivirus o EDR (Endpoint Detection and Response) local. Al no producirse ninguna actividad sospechosa de descifrado en el equipo de la víctima, el ataque permanece invisible para la mayoría de los sistemas de defensa tradicionales.

Storm es una plataforma completa. Por una suscripción mensual, los operadores obtienen:

• Extracción de credenciales de navegadores (Chrome, Edge, Firefox, etc.).
• Recuperación de cookies de sesión activas.
• Captura de tokens de autenticación de servicios en la nube.
• Robo de información de billeteras de criptomonedas y datos de mensajería (Telegram, Signal, Discord).
• Capacidad para capturar capturas de pantalla y sistema, proporcionando contexto al atacante.

EvilTokens: Phishing-as-a-Service (PhaaS) y la democratización del hackeo

Mientras que Storm se enfoca en el punto final (el dispositivo de la víctima), “EvilTokens” ataca la lógica misma de la autenticación. Este kit PhaaS se especializa en abusar de flujos de autenticación legítimos, específicamente el flujo de “código de dispositivo” (OAuth 2.0 Device Code Flow).

Diseñado originalmente para dispositivos con interfaces limitadas como televisores inteligentes, este flujo se ha convertido en el talón de Aquiles de muchas organizaciones. El engaño es magistral por su simplicidad: el atacante dirige a la víctima a un sitio web de Microsoft real y legítimo, pidiéndole que introduzca un código de dispositivo que el atacante ha generado previamente. Al introducirlo, la víctima autoriza, sin saberlo, la sesión del atacante.

Una vez que el usuario completa este proceso (incluso satisfaciendo la MFA en el proceso, ya que la solicitud es legítima), Microsoft emite tokens de acceso y de refresco directamente al atacante. La MFA no solo es inútil aquí; es parte del proceso de engaño. EvilTokens automatiza este ciclo, proporcionando señuelos personalizados mediante IA y servidores de polling dinámicos que evitan los bloqueos de seguridad convencionales.

Por qué el robo de sesiones hace obsoleta la MFA tradicional

El problema central es que la mayoría de las formas de MFA (SMS, notificaciones push, aplicaciones de autenticación basadas en TOTP) se diseñaron para proteger el momento de la autenticación inicial. Sin embargo, no ofrecen ninguna protección una vez que la sesión ya ha sido establecida.

El robo de sesiones ocurre *después* de que el usuario ha superado con éxito la MFA. Si un atacante tiene su cookie de sesión, no necesita su contraseña, ni su código de un solo uso, ni su huella digital. Ellos ya están “dentro” con su identidad verificada. Es, en esencia, un robo de llaves después de que usted ya ha entrado a su casa; el sistema asume que, porque la llave (token) es válida, la persona que la sostiene es usted.

La defensa necesaria: Hacia una autenticación resistente al phishing

Los expertos en ciberseguridad han llegado a un consenso claro: debemos alejarnos de los factores de autenticación que son susceptibles a la interceptación. La respuesta está en la autenticación resistente al phishing (phishing-resistant MFA), basada en estándares como FIDO2.

A diferencia de los códigos SMS o las notificaciones push, los estándares FIDO2 y las llaves de seguridad físicas (como las llaves FIDO o los passkeys basados en hardware) vinculan criptográficamente la sesión al origen (la URL real del sitio).

• Vinculación al origen: Si un atacante intenta utilizar una sesión robada o un código de dispositivo en un sitio web falso (aunque se parezca exactamente al real), la llave de seguridad FIDO2 detectará inmediatamente que el dominio no coincide y se negará a firmar la solicitud de autenticación.
• Ausencia de secretos compartidos: No se transmite ninguna contraseña o código que pueda ser interceptado. La autenticación se basa en una clave privada que nunca abandona el dispositivo del usuario, eliminando el riesgo de que el “eslabón más débil” sea el humano o un código retransmitido.

Recomendaciones estratégicas para organizaciones

Para contrarrestar campañas como las de Storm y EvilTokens, las organizaciones deben implementar una estrategia de “Defensa en Profundidad”:

1. Adopción de FIDO2/Passkeys: Priorizar la implementación de passkeys y llaves de seguridad físicas, especialmente para usuarios con privilegios elevados (administradores, finanzas, ingeniería).
2. Eliminar los factores débiles: Si es posible, deshabilitar completamente el uso de SMS, llamadas de voz y notificaciones push como métodos de recuperación o autenticación, ya que son fácilmente explotables.
3. Restricciones de acceso condicional: Configurar políticas en Entra ID u otros IdP (Proveedores de Identidad) que limiten el uso del flujo de “código de dispositivo” (Device Code Flow) para cuentas críticas y restringir el acceso basándose en el estado del dispositivo (Device Trust).
4. Higiene de sesiones: Reducir los tiempos de vida de las sesiones y exigir una re-autenticación (utilizando FIDO2) para realizar acciones sensibles o acceder a recursos de alta confidencialidad.

La ciberseguridad de 2026 ya no se trata solo de quién sabe su contraseña, sino de quién posee su sesión. Mientras los atacantes perfeccionan el robo de sesiones, la única forma de recuperar el control es abandonar las formas de autenticación que dependen de secretos reutilizables o interceptables, y abrazar la criptografía de clave pública vinculada al hardware. El futuro de la seguridad no es tener mejores contraseñas, es eliminar la necesidad de las mismas por completo.