Cuidado con EvilTokens, el nuevo fraude que se disfraza de Microsoft para infiltrarse en cuentas corporativas

La sofisticación de las campañas de phishing continúa en aumento y representa una amenaza persistente para las empresas. Según ESET, una de las compañías líderes en ciberseguridad, ha surgido una nueva modalidad de fraude digital conocida como EvilTokens.

Se trata de un kit de phishing como servicio, también llamado PhaaS, que puede ser adquirido por cualquier interesado y que ha demostrado evadir los mecanismos de defensa más avanzados, incluyendo páginas oficiales y sistemas de autenticación multifactor.

A diferencia de otras técnicas, EvilTokens no depende de páginas falsas ni de la recolección de credenciales en sitios clonados. El ataque se dirige directamente a los entornos de Microsoft 365, explotando un método legítimo de autenticación que utiliza códigos de dispositivo. Los delincuentes aprovechan este proceso para transformar un mecanismo de seguridad en un acceso no autorizado a cuentas corporativas.

El procedimiento arranca cuando los atacantes generan un código de dispositivo válido y lo incluyen en mensajes que simulan actividades cotidianas dentro de una organización, como compartir documentos o enviar invitaciones de calendario. Estos mensajes se diseñan para pasar desapercibidos y no levantar sospechas entre los empleados.

Cuando el destinatario recibe el mensaje, es conducido a una página auténtica de Microsoft, donde se le solicita introducir el código. Puesto que la web es real y el proceso puede incluir autenticación en dos pasos, resulta complicado para la víctima identificar que se trata de un engaño. Sin saberlo, el usuario termina habilitando una sesión que ya ha sido iniciada por los atacantes, quienes obtienen acceso a servicios empresariales como el correo electrónico, OneDrive, Teams y SharePoint.

Amenaza para las empresas

El desarrollo de EvilTokens representa un reto nuevo para los equipos de seguridad informática. Las técnicas convencionales, como la detección de enlaces o páginas fraudulentas, no resultan efectivas porque el engaño se ejecuta completamente dentro de la infraestructura legítima de Microsoft. Esta característica dificulta la identificación y contención del ataque.

La comercialización de este kit como un servicio accesible amplía el alcance de los ciberdelincuentes, quienes pueden poner en riesgo los sistemas de cualquier empresa, sin importar su tamaño o sector. El acceso a recursos críticos a través de Microsoft 365 puede abrir la puerta a filtraciones de datos, movimientos laterales dentro de la red y vulneraciones continuas.

Prevención y recomendaciones

Frente a esta amenaza, ESET sugiere adoptar medidas que pongan el foco en la prevención y la concienciación del usuario. La recomendación principal consiste en evitar ingresar códigos de autenticación que no hayan sido solicitados por iniciativa propia.

Si se recibe una petición inesperada para introducir un código, aunque el proceso sea dentro de una página auténtica de Microsoft, la acción más segura es desconfiar y consultar con el área de tecnología o con el responsable de seguridad de la empresa.

La formación constante del personal y la actualización de los protocolos de seguridad internos se convierten en herramientas esenciales para evitar caer en este tipo de fraudes. Además, es importante revisar los procedimientos de acceso y reforzar las capas de protección en los servicios corporativos asociados a Microsoft 365.

La aparición de EvilTokens subraya la necesidad de que las organizaciones mantengan una vigilancia permanente sobre los métodos de acceso y las técnicas de ingeniería social que evolucionan rápidamente en el panorama digital. El compromiso de los empleados y la comunicación fluida con los equipos de seguridad son factores determinantes para reducir el impacto de este tipo de ataques.