Una nueva plataforma de Phishing-as-a-Service llamada EvilTokens está impulsando un aumento exponencial de un fraude sofisticado.
Los ataques de phishing de código de dispositivo se han multiplicado por 37.5 veces en lo que va de abril de 2026, según documentan investigadores de seguridad. Este método explota un mecanismo legítimo de autorización de OAuth 2.0 para robar credenciales de cuentas corporativas.
El flujo de concesión de código de dispositivo de OAuth 2.0 fue diseñado para ayudar a usuarios a iniciar sesión en dispositivos con pantalla limitada. Un ejemplo común son las consolas de comandos o herramientas CLI.
El sistema le muestra al usuario un código que debe ingresar en una página web en otro dispositivo, como su teléfono o computadora personal, para completar la autenticación.
Los ciberdelincuentes han encontrado la forma de pervertir este proceso. Crean páginas de phishing falsas que imitan el portal legítimo de inicio de sesión de una empresa, como Microsoft 365.
Cuando la víctima introduce el código mostrado, en realidad está concediendo permisos de acceso a los atacantes. La legitimidad visual del proceso lo hace muy engañoso.
Hasta hace poco, montar estos ataques requería cierto conocimiento técnico. La novedad radica en la aparición de kits de phishing empaquetados y listos para usar. Estos kits reducen la barrera de entrada para los actores maliciosos, permitiendo que incluso actores con habilidades básicas lancen campañas.
La disponibilidad comercial de herramientas especializadas ha alterado el panorama de la ciberdelincuencia. Investigadores de la Cloud Security Alliance atribuyen el pico del 3700% en ataques al lanzamiento de EvilTokens.
- Facilitación del ataque: EvilTokens opera como un servicio, proporcionando a los clientes (ciberdelincuentes) todo lo necesario para ejecutar campañas de phishing de código de dispositivo. Esto incluye paneles de control, plantajes y soporte.
- Objetivo principal: La plataforma está optimizada para apuntar a cuentas empresariales, con un enfoque particular en los usuarios de Microsoft 365.
- Velocidad de propagación: La naturaleza comercial y empaquetada de estos kits explica la velocidad vertiginosa del aumento reportado hasta el 4 de abril de 2026.
El impacto inmediato es un riesgo significativamente mayor para las organizaciones. Los atacantes buscan tomar el control de cuentas corporativas con privilegios.
Una vez dentro, pueden acceder a correos electrónicos, documentos confidenciales y datos de clientes. También pueden utilizar la cuenta comprometida como punto de partida para moverse lateralmente dentro de la red de la empresa.
La firma de seguridad Push Security, que documentó el aumento, señala que el vector es efectivo porque burla algunas protecciones tradicionales.
A diferencia del phishing clásico, la víctima no ingresa su contraseña directamente en un sitio falso. En su lugar, autoriza una aplicación maliciosa a través de un proceso que parece legítimo y familiar para muchos empleados técnicos. Esto hace que la capacitación en concienciación sea más compleja.
Este episodio subraya una tendencia preocupante en la ciberseguridad: la industrialización del crimen digital. La aparición de plataformas como EvilTokens democratiza capacidades de ataque avanzadas. Según análisis del sector, como los de Picus Security, las pruebas de penetración automatizadas a menudo no logran detectar estos vectores de ataque que dependen de la interacción humana.
La defensa requiere un enfoque multicapa. Los administradores de TI deben revisar y endurecer las políticas de consentimiento de OAuth en sus entornos. Deben auditar regularmente qué aplicaciones tienen acceso a los datos corporativos y revocar aquellas que no sean esenciales.
Para los usuarios finales, la recomendación clave es verificar siempre la URL y el nombre de la aplicación que solicita permisos, incluso cuando el proceso de introducción del código parezca normal.