Microsoft ha detallado a large-scale phishing campaign que utilizó técnicas de varias etapas para comprometer las sesiones de usuario y eludir la autenticación multifactor, lo que pone de manifiesto un cambio creciente hacia ataques basados en tokens.
Según el equipo de inteligencia de amenazas de Microsoft, la campaña se dirigió a más de 35.000 usuarios en más de 13.000 organizaciones en 26 países en un corto periodo entre el 14 y el 16 de abril de 2026. La mayoría de los objetivos se ubicaron en Estados Unidos, con sectores como la sanidad, las finanzas y la tecnología gravemente afectados.
El ataque se basó en un señuelo de “código de conducta”, donde las víctimas recibían correos electrónicos de phishing que les instaban a revisar o reconocer las políticas relacionadas con el lugar de trabajo. Estos mensajes estaban diseñados para parecer legítimos y se distribuyeron en múltiples oleadas para aumentar la efectividad.
Una vez que un objetivo era atacado, la operación se desarrollaba en varias fases. Las víctimas eran redirigidas a través de una cadena de infraestructuras maliciosas antes de acabar finalmente en una página de phishing diseñada para capturar credenciales. Sin embargo, la campaña no se detuvo en el robo de contraseñas. En su lugar, los atacantes utilizaron técnicas de adversario en el medio para interceptar los datos de autenticación en tiempo real.
Este método permitía a los actores de amenazas obtener tokens de sesión, facilitando el acceso a la cuenta sin necesidad de nuevas credenciales. Este tipo de robo de tokens es especialmente significativo porque puede eludir las protecciones de autenticación multifactor, que normalmente están diseñadas para evitar inicios de sesión no autorizados.
Microsoft señaló que la campaña aprovechó la infraestructura de proxy inverso para situarse entre los usuarios y los servicios legítimos de inicio de sesión. Esta configuración permitía a los atacantes capturar cookies de autenticación y mantener el acceso persistente incluso después de un compromiso inicial.
El diseño de varias etapas también incluía tácticas de evasión. Infraestructura de ataque adaptada dinámicamente a las interacciones del usuario y comprobaciones ambientales, reduciendo la probabilidad de detección por parte de herramientas de seguridad. En algunos casos, el contenido de phishing se mostraba selectivamente según las condiciones de segmentación, limitando la exposición a investigadores y defensas automatizadas.
Los investigadores enfatizaron que la campaña no se centró en una sola industria, sino que se dirigió a una amplia gama de organizaciones. Este enfoque amplio refleja un cambio hacia operaciones de phishing escalables que priorizan el volumen y la automatización frente a ataques altamente dirigidos.
Los resultados ponen de manifiesto una tendencia más amplia en las amenazas cibernéticas. Los atacantes están avanzando cada vez más allá del robo de credenciales hacia el secuestro de sesiones y ataques basados en la identidad. En estos escenarios, defensas tradicionales como el restablecimiento de contraseñas pueden no ser suficientes, ya que los tokens robados pueden seguir proporcionando acceso si no se revocan.
Microsoft aconseja a las organizaciones que refuercen las medidas de protección de identidad, incluyendo la monitorización de actividades sospechosas en las sesiones, la implementación de políticas de acceso condicional y la garantía de una revocación rápida de tokens ante posibles comprometimientos.
La campaña demuestra cómo las operaciones de phishing siguen evolucionando, combinando ingeniería social con infraestructura avanzada para eludir los controles de seguridad establecidos y mantener el acceso a largo plazo a cuentas comprometidas.