El FBI ha publicado una warning plataforma de phishing como servicio en rápido crecimiento llamada Kali365, que se está utilizando para comprometer cuentas de Microsoft 365 mientras se eluden las protecciones de autenticación multifactor.
Según un nuevo Anuncio de Servicio Público del FBI publicado a través del Internet Crime Complaint Center (IC3), Kali365 apareció por primera vez en abril de 2026 y se distribuye principalmente a través de canales de Telegram utilizados por ciberdelincuentes. La plataforma permite a los atacantes robar tokens de acceso OAuth de Microsoft 365 sin capturar directamente contraseñas o códigos MFA.
El FBI afirmó que Kali365 reduce la barrera para los ciberdelincuentes menos cualificados al proporcionar infraestructura de phishing ya preparada, señuelos generados por IA, plantillas automatizadas de campañas, paneles de seguimiento de víctimas y herramientas de captura de tokens.
A diferencia de los ataques tradicionales de phishing que se basan en páginas de inicio de sesión falsas, Kali365 abusa del proceso legítimo de autenticación de dispositivos de Microsoft. En un ataque típico, las víctimas reciben correos electrónicos que se hacen pasar por servicios de confianza en la nube o de compartición de documentos. Los mensajes contienen instrucciones que dirigen a los usuarios a la página real de verificación de Microsoft y les piden introducir un código de dispositivo suministrado.
Una vez introducido el código, las víctimas autorizan sin saberlo que el dispositivo del atacante accede a su entorno Microsoft 365. Los atacantes capturan entonces los tokens de acceso OAuth y refresco, permitiendo el acceso persistente a servicios como Outlook, Teams y OneDrive sin activar prompts MFA adicionales.
Investigadores de seguridad describen la técnica como “phishing por código de dispositivo”, un método de ataque creciente dirigido a sistemas de autenticación en la nube. Como el inicio de sesión ocurre a través de una infraestructura legítima de Microsoft, las herramientas tradicionales de detección de phishing a menudo tienen dificultades para identificar la actividad como maliciosa.
Investigadores de Arctic Wolf vincularon previamente Kali365 con campañas a gran escala que afectan a organizaciones de los sectores manufacturero, sanitario, financiero, gubernamental y educativo en Norteamérica y Europa. La compañía afirmó que los atacantes usaron señuelos de phishing realistas combinados con el flujo legítimo de inicio de sesión de dispositivos de Microsoft para obtener tokens de acceso persistentes.
Expertos en ciberseguridad advierten que los tokens robados pueden proporcionar acceso a largo plazo a entornos corporativos y pueden utilizarse para la concesión de correos electrónicos empresariales, reconocimiento interno, robo de datos, fraude financiero y despliegue de ransomware.
El FBI recomendó que las organizaciones restringieran o deshabilitaran los flujos de autenticación por código de dispositivo siempre que fuera posible e implementaran políticas de acceso condicional que bloqueen intentos de inicio de sesión arriesgados. La agencia también aconsejó a las empresas monitorizar los permisos de las aplicaciones OAuth, revisar eventos sospechosos de autenticación y revocar tokens no autorizados inmediatamente después de detectar actividad comprometida.
La agencia advirtió además a los usuarios que deban ser cautelosos ante correos electrónicos no solicitados que soliciten acciones de autenticación, incluso cuando los enlaces apunten a dominios legítimos de Microsoft.
Kali365 se une a un ecosistema creciente de operaciones de phishing como servicio que empaquetan técnicas avanzadas de ataque en plataformas basadas en suscripción vendidas a través de Telegram y comunidades clandestinas de ciberdelincuencia. Los investigadores afirman que estos servicios están haciendo que los ataques sofisticados de toma de control de cuentas sean cada vez más accesibles para actores amenazantes sin experiencia.