EvilTokens: el ataque de phishing que no necesita robar tu contraseña
Un nuevo kit de phishing subvierte el flujo legítimo de autenticación de Microsoft para comprometer cuentas sin necesidad de páginas falsas ni contraseñas robadas. Te explicamos cómo funciona y qué pueden hacer las empresas para protegerse.
Cuando hablamos de phishing, la mayoría imagina correos engañosos que llevan a páginas falsas diseñadas para capturar contraseñas. Sin embargo, una nueva amenaza identificada como EvilTokens está cambiando las reglas del juego de una manera preocupante: los atacantes ya no necesitan robar tu contraseña ni construir un sitio web fraudulento para comprometer tu cuenta.
Según un análisis publicado por WeLiveSecurity, EvilTokens es un kit de phishing que subvierte el flujo legítimo de autenticación de Microsoft. En lugar de engañar a los usuarios para que ingresen sus credenciales en una página falsa, este método aprovecha el proceso real de inicio de sesión de Microsoft para obtener tokens de acceso válidos. Esto significa que el usuario puede completar su autenticación en el sitio oficial, incluyendo la verificación en dos pasos, y aun así quedar comprometido.
El mecanismo central de este ataque reside en la manipulación del flujo de autorización de OAuth, un protocolo estándar que permite a aplicaciones y servicios acceder a cuentas en nombre del usuario. Al intervenir este proceso, los atacantes logran capturar tokens de sesión activos sin que la víctima note nada inusual. Con esos tokens en su poder, pueden acceder a correos, archivos, contactos y otros recursos de la cuenta comprometida, todo sin conocer la contraseña del usuario.
Esto representa un salto cualitativo en la sofisticación del phishing moderno. Las medidas de seguridad tradicionales, como exigir contraseñas robustas o activar la autenticación multifactor (MFA), siguen siendo importantes, pero resultan insuficientes frente a un ataque que las elude por completo al operar dentro del flujo de autenticación legítimo.
Para las empresas medianas en Ecuador que dependen de servicios en la nube como Microsoft 365, este tipo de amenaza es especialmente relevante. Una cuenta corporativa comprometida puede derivar en fuga de información confidencial, acceso no autorizado a sistemas internos o incluso el lanzamiento de nuevos ataques hacia clientes y socios desde una dirección de correo de confianza.
¿Qué medidas pueden reducir el riesgo? Algunas recomendaciones clave incluyen revisar periódicamente las aplicaciones y permisos OAuth autorizados en las cuentas corporativas, implementar políticas de acceso condicional que detecten comportamientos anómalos, monitorear activamente los tokens de sesión y capacitar al equipo para identificar correos o solicitudes de autorización sospechosas, incluso cuando parezcan provenir de fuentes legítimas.
En COTEDEM acompañamos a nuestros clientes en Ecuador ante amenazas como EvilTokens, ayudándoles a evaluar su postura de seguridad, revisar configuraciones críticas en entornos Microsoft 365 y Azure, e implementar controles que van más allá de la contraseña. Si tu empresa quiere entender cómo está expuesta frente a este tipo de ataques avanzados, nuestro equipo está listo para apoyarte.
Fuente: WeLiveSecurity
← Volver al blog