Tycoon 2FA: Cómo el nuevo exploit de OAuth vulnera Microsoft 365

En el dinámico y peligroso tablero del cibercrimen, pocas piezas han demostrado tanta resiliencia y capacidad de adaptación como el kit de phishing Tycoon 2FA. Tras un intento coordinado de desmantelamiento por parte de gigantes tecnológicos y agencias de ley internacionales en marzo de 2026, los operadores detrás de esta infraestructura de “Phishing-as-a-Service” (PhaaS) no solo han regresado, sino que han evolucionado. Su nueva táctica, centrada en la explotación del flujo de códigos de dispositivo (OAuth Device-Code), representa una de las amenazas más sofisticadas para los entornos de Microsoft 365, logrando lo que antes parecía imposible: hacer que la autenticación de múltiples factores (MFA) trabaje a favor del atacante.

¿Qué es Tycoon 2FA y por qué ha vuelto con más fuerza?

Desde su aparición inicial en 2023, Tycoon 2FA se posicionó rápidamente como la herramienta predilecta para actores de amenazas con habilidades técnicas moderadas que buscaban comprometer cuentas corporativas a gran escala. Operado por el grupo que Microsoft rastrea como Storm-1747, este kit funciona bajo un modelo de suscripción mensual (aproximadamente $350 USD), proporcionando a sus clientes todo lo necesario para ejecutar campañas de robo de identidad: desde plantillas de correo electrónico hasta un backend de administración centralizado.

A diferencia del phishing tradicional que solo busca capturar contraseñas, Tycoon 2FA nació con capacidades de Adversary-in-the-Middle (AitM). En su versión original, actuaba como un proxy inverso, interceptando no solo las credenciales del usuario, sino también los tokens de sesión generados después de que la víctima completaba el desafío de MFA. Sin embargo, la interrupción masiva liderada por Europol y Microsoft en marzo de 2026, que resultó en la incautación de más de 330 dominios, obligó a sus desarrolladores a repensar su estrategia. El resultado es una variante que ya no necesita “clonar” la página de inicio de sesión de Microsoft, sino que abusa de la propia infraestructura legítima de autorización de dispositivos de la compañía.

La anatomía de la explotación: El flujo de Device-Code

La innovación más crítica en la evolución de Tycoon 2FA es su cambio hacia el abuso del flujo de concesión de autorización de dispositivos de OAuth 2.0. Este protocolo fue diseñado originalmente para permitir que dispositivos con capacidades de entrada limitadas —como Smart TVs, impresoras o consolas de videojuegos— se autentiquen en servicios en la nube.

En un escenario legítimo, el dispositivo muestra un código de ocho caracteres y le pide al usuario que visite una URL (usualmente microsoft.com/devicelogin) en su computadora o teléfono para ingresar dicho código y autorizar el acceso. Tycoon 2FA subvierte este proceso de la siguiente manera:

• El inicio del engaño: El atacante envía un correo de phishing, a menudo disfrazado de una notificación de factura pendiente o un mensaje de voz de Microsoft 365.
• La cadena de redirección: El enlace utiliza servicios legítimos como los rastreadores de clics de Trustifi o Cloudflare Workers para evadir los filtros de seguridad de correo que bloquean dominios conocidos por ser maliciosos.
• La obtención del código: En segundo plano, el servidor de Tycoon 2FA contacta a los servicios de identidad de Microsoft solicitando un código de dispositivo para una aplicación específica (frecuentemente suplantando al “Microsoft Authentication Broker”).
• La acción de la víctima: El sitio de phishing presenta este código real a la víctima y la instruye para que lo ingrese en el portal oficial de Microsoft.

Al hacer esto, la víctima está autenticándose en la página real de Microsoft y completando su desafío de MFA de manera legítima. Sin embargo, en lugar de autorizar un dispositivo propio, está otorgando un token de acceso OAuth directamente al servidor del atacante.

¿Por qué esta técnica es tan letal?

Lo que hace que este método sea extremadamente difícil de detectar es que la interacción crítica del usuario ocurre en dominios legítimos de Microsoft. A diferencia de las versiones anteriores de Tycoon 2FA, donde un ojo entrenado podía detectar una URL sospechosa en la barra de direcciones del navegador, aquí el usuario está operando en un entorno de confianza total. Además, dado que el token se emite para un “dispositivo” nuevo, las defensas basadas en la reputación de la sesión anterior o en cookies de navegador existentes son completamente ineficaces.

Capas de evasión y anti-análisis en Tycoon 2FA

El éxito de Tycoon 2FA no reside solo en su método de robo de tokens, sino en su capacidad para permanecer oculto de los investigadores de seguridad y los escáneres automatizados. El kit ha implementado técnicas de cloaking (encubrimiento) altamente avanzadas que filtran el tráfico entrante antes de mostrar el contenido malicioso.

1. Filtrado por ASN y Reputación: El servidor de phishing mantiene una “lista negra” masiva (que incluye más de 230 nombres de proveedores y miles de rangos de IP) para bloquear el acceso desde sandboxes de seguridad, nubes públicas como AWS o Azure, y VPNs conocidas. Si el sistema detecta que el visitante es un bot de análisis, lo redirige automáticamente a una página legítima de Microsoft o Google.
2. Detección de Navegadores Automatizados: El kit utiliza scripts para identificar si el navegador está siendo controlado por herramientas de automatización como Puppeteer, Selenium o Playwright.
3. Cifrado de Metadatos: Los investigadores de eSentire descubrieron que Tycoon 2FA emplea una capa de cifrado AES-CBC (con una clave hardcoded: 1234567890123456) para proteger la comunicación entre el navegador de la víctima y el servidor C2 del atacante, ocultando los detalles de la sesión capturada.
4. Trampas de Tiempo (Anti-Debug): Incluye pilas de código diseñadas para detectar si un analista está intentando depurar el JavaScript, provocando que la página se bloquee o se comporte de manera errática.

Impacto en la infraestructura de Microsoft 365

Una vez que el operador de Tycoon 2FA obtiene el token OAuth, el compromiso de la organización es profundo. Al suplantar aplicaciones de primera parte como el Microsoft Authentication Broker (AppId: 29d9ed98-a469-4536-ade2-f981bc1d605e), el atacante obtiene permisos que a menudo incluyen el acceso a correos electrónicos en Exchange Online, archivos en SharePoint y datos en OneDrive.

Lo más preocupante es la persistencia. Los tokens de actualización (refresh tokens) obtenidos a través de este flujo pueden tener una vida útil prolongada, permitiendo que el atacante mantenga el acceso incluso si el usuario cambia su contraseña. En muchos casos, el compromiso solo se detecta cuando el atacante ya ha exfiltrado datos sensibles o ha iniciado una campaña de Business Email Compromise (BEC) utilizando la cuenta legítima para engañar a socios comerciales y clientes.

Estrategias de defensa: Mitigando el riesgo de Tycoon 2FA

Confiar únicamente en el MFA estándar ya no es suficiente frente a amenazas como Tycoon 2FA. Las organizaciones deben adoptar un enfoque de Confianza Cero (Zero Trust) y fortalecer la gobernanza sobre sus flujos de identidad. Aquí detallamos las medidas críticas recomendadas por los expertos en ciberseguridad:

1. Restricción del flujo de Device-Code

La medida defensiva más efectiva es deshabilitar por completo el flujo de autenticación por código de dispositivo en Microsoft Entra ID (anteriormente Azure AD) si no es estrictamente necesario para la operación del negocio. Si bien algunos escenarios de soporte técnico lo requieren, para la gran mayoría de los usuarios finales, este flujo debe ser bloqueado mediante Políticas de Acceso Condicional.

2. Implementación de MFA Resistente al Phishing

El MFA basado en SMS, códigos TOTP (como Google Authenticator) o notificaciones “push” es vulnerable a los ataques de AitM y Device-Code. La transición hacia métodos resistentes al phishing, como FIDO2 (llaves de seguridad físicas), Windows Hello for Business o Passkeys, elimina la posibilidad de que un intermediario intercepte o utilice los factores de autenticación, ya que estos están vinculados criptográficamente al origen del sitio web y al dispositivo del usuario.

3. Auditoría de Consentimientos OAuth

Es vital revisar regularmente la sección de “Aplicaciones Empresariales” en el portal de Entra ID. Los administradores deben buscar aplicaciones que tengan permisos excesivos (como Mail.Read o Files.Read.All) y que hayan sido autorizadas por usuarios individuales. Se recomienda configurar la plataforma para que siempre se requiera la aprobación de un administrador antes de que un usuario pueda otorgar permisos a aplicaciones de terceros.

4. Políticas de Acceso Condicional Basadas en Dispositivos

Configurar políticas que exijan que el dispositivo que solicita el token sea un dispositivo administrado y compatible (Managed/Compliant Device). Esto asegura que, incluso si un atacante obtiene un código de dispositivo, no pueda completar el flujo de autorización desde una máquina externa que no cumpla con los requisitos de seguridad de la empresa.

5. Capacitación Específica para Usuarios

La concienciación tradicional sobre phishing debe actualizarse. Los empleados deben entender que recibir una solicitud para ingresar un código en microsoft.com/devicelogin como parte de un proceso de “revisión de cuenta” o “escuchar un mensaje de voz” es una señal de alerta máxima. Microsoft nunca solicitará el uso del flujo de Device-Code para actividades rutinarias de correo o documentos.

Conclusión: La carrera armamentista de la identidad

El resurgimiento de Tycoon 2FA en mayo de 2026 subraya una realidad incómoda: los ciber criminales están superando la velocidad de las defensas tradicionales. El paso del robo de contraseñas a la interceptación de sesiones AitM, y ahora al abuso de protocolos OAuth legítimos, demuestra que la identidad es el nuevo perímetro de batalla. Para protegerse, las organizaciones no pueden limitarse a implementar herramientas; deben entender profundamente cómo funcionan los protocolos que utilizan y estar preparadas para cerrar las brechas que los atacantes, con su ingenio inagotable, seguirán encontrando.

La vigilancia constante, el monitoreo de los logs de Microsoft Entra en busca de agentes de usuario sospechosos (como ‘node’ o ‘undici’) y la adopción de estándares de autenticación modernos son las únicas formas de garantizar que el próximo ataque de Tycoon 2FA se encuentre con una puerta que no solo está cerrada, sino que es imposible de abrir para cualquier intruso.