El FBI encendió las alertas por Kali365, una amenaza de phishing dirigida a usuarios de Microsoft 365 que puede comprometer cuentas de Outlook, Teams y OneDrive sin necesidad de robar contraseñas. El riesgo está en el abuso del flujo legítimo de código de dispositivo de Microsoft, una técnica que engaña al usuario para autorizar el acceso del atacante.
Los usuarios de Microsoft 365 vuelven a estar en el centro de una advertencia de ciberseguridad de alto impacto. El FBI, a través del Internet Crime Complaint Center, emitió una alerta sobre Kali365, una plataforma de phishing-as-a-service que facilita el secuestro de cuentas corporativas y personales mediante el robo de tokens OAuth.
La amenaza preocupa porque no depende del robo tradicional de contraseñas. En este caso, los atacantes inducen a la víctima a ingresar un código en una página legítima de verificación de Microsoft. Al hacerlo, la persona autoriza sin saberlo un dispositivo controlado por el atacante, que luego obtiene tokens de acceso y actualización para ingresar a servicios como Outlook, Teams y OneDrive. :contentReference[oaicite:1]{index=1}
Según el FBI, Kali365 fue identificado en abril de 2026 y se distribuye principalmente a través de Telegram. Su modelo de servicio permite que actores con menor capacidad técnica puedan lanzar campañas de phishing más sofisticadas, lo que eleva el riesgo para empresas, instituciones educativas, organizaciones públicas y usuarios individuales. :contentReference[oaicite:2]{index=2}
Leer más: Incremento de ciberataques disfrazados de marcas populares: una amenaza silenciosa en crecimiento
Amenaza
Kali365, plataforma de phishing como servicio.
Servicios afectados
Microsoft 365, Outlook, Teams y OneDrive.
Riesgo principal
Secuestro de cuentas mediante tokens OAuth, incluso con MFA activado.
Qué es Kali365 y por qué preocupa al FBI
Kali365 es una plataforma de phishing-as-a-service, es decir, una herramienta maliciosa ofrecida como servicio para que otros ciberdelincuentes puedan lanzar campañas de engaño contra usuarios de Microsoft 365. Su peligro no está únicamente en la tecnología, sino en que reduce la barrera de entrada para atacantes menos expertos.
De acuerdo con el FBI, la plataforma permite crear campañas que abusan del flujo de autenticación por código de dispositivo. Este mecanismo existe para facilitar el inicio de sesión en equipos con entrada limitada, como televisores, consolas o dispositivos sin teclado completo. El problema es que los atacantes lo manipulan para que la víctima autorice un acceso que no controla.
Una vez capturados los tokens de acceso y actualización, el atacante puede mantener acceso a servicios de Microsoft 365 sin necesitar la contraseña de la víctima. Ese acceso puede continuar hasta que los tokens sean revocados y la sesión comprometida sea bloqueada. :contentReference[oaicite:3]{index=3}
La clave del ataque: Kali365 no necesita convencerte de entregar tu contraseña. Le basta con engañarte para que ingreses un código legítimo en una página real de Microsoft y autorices el acceso del atacante.
Cómo funciona el engaño del código de dispositivo
El ataque empieza con un mensaje de phishing que aparenta venir de una fuente confiable. Puede llegar por correo electrónico, mensajería o canales asociados a entornos corporativos. El mensaje suele incluir un código y un enlace hacia una página legítima de Microsoft para validación de dispositivo.
La víctima cree que está completando una verificación normal. Sin embargo, el código corresponde a una sesión iniciada por el atacante. Al introducirlo, el usuario autoriza el dispositivo ajeno. El atacante captura entonces tokens OAuth que le permiten acceder a la cuenta y a servicios asociados.
El FBI describe cuatro fases principales: generación del código, ingeniería social para que la víctima lo ingrese, robo de tokens y persistencia en la cuenta. La parte más delicada es que el atacante puede acceder a Outlook, Teams y OneDrive sin nuevas solicitudes de MFA mientras los tokens sigan siendo válidos. :contentReference[oaicite:4]{index=4}
Resumen del ataque Kali365
1. Engaño inicial: la víctima recibe un mensaje con apariencia legítima.
2. Código de dispositivo: el mensaje incluye un código que parece parte de una verificación normal.
3. Autorización involuntaria: la víctima ingresa el código en una página real de Microsoft.
4. Robo de tokens: el atacante obtiene tokens OAuth de acceso y actualización.
5. Persistencia: el atacante accede a Outlook, Teams y OneDrive sin contraseña ni nuevos desafíos MFA.
Por qué la autenticación multifactor no siempre detiene este ataque
La autenticación multifactor sigue siendo una defensa esencial, pero Kali365 demuestra que los atacantes están buscando formas de rodearla. En este caso, el problema no es que el atacante rompa el MFA por fuerza bruta, sino que engaña al usuario para autorizar una sesión mediante un flujo legítimo.
Esto cambia la lógica de defensa. No basta con pedir a los usuarios que tengan contraseñas fuertes o que activen MFA. Las organizaciones también deben revisar qué flujos de autenticación permiten, cómo monitorean sesiones, qué dispositivos están autorizados y cómo revocan tokens sospechosos.
Medios especializados han señalado que Kali365 convierte el phishing en una amenaza más accesible para atacantes de bajo nivel técnico, porque ofrece paneles, plantillas y funciones que automatizan parte del proceso. :contentReference[oaicite:5]{index=5}
Dato importante: MFA sigue siendo necesario, pero debe complementarse con políticas de acceso condicional, monitoreo de tokens, revisión de dispositivos y educación contra phishing.
Leer más: Microsoft 365 vs. Google Workspace: diferencias, seguridad y herramientas de productividad
Outlook, Teams y OneDrive: por qué son objetivos tan valiosos
Las cuentas de Microsoft 365 son atractivas para los ciberdelincuentes porque concentran información crítica. En Outlook puede haber correos corporativos, facturas, contratos, claves temporales, conversaciones internas y datos personales. En Teams puede existir comunicación de proyectos, reuniones, archivos compartidos y coordinación operativa.
OneDrive representa otro riesgo importante porque almacena documentos, hojas de cálculo, presentaciones, respaldos y archivos de trabajo. Si un atacante accede a estos servicios, puede robar información, enviar correos fraudulentos desde una cuenta legítima, moverse dentro de la organización o preparar ataques más grandes.
Por eso, el secuestro de una sola cuenta puede convertirse en una puerta de entrada a incidentes mayores: fraude financiero, robo de datos, suplantación interna, exposición de documentos sensibles o campañas de phishing contra contactos de confianza.
Lectura empresarial: una cuenta comprometida de Microsoft 365 no es un problema aislado. Puede convertirse en el punto de inicio de una cadena de fraude, espionaje o filtración de datos.
Señales de alerta para usuarios y empresas
Los usuarios deben prestar atención a cualquier correo, chat o mensaje que solicite ingresar un código de dispositivo sin haber iniciado ellos mismos el proceso. También deben sospechar de mensajes que usen urgencia, amenazas de bloqueo, solicitudes de verificación inesperada o supuestos avisos de seguridad.
En empresas, los equipos de TI deben revisar inicios de sesión inusuales, dispositivos desconocidos, accesos desde ubicaciones extrañas, uso anómalo de tokens, reenvíos de correo no autorizados y actividad irregular en OneDrive o Teams.
El FBI recomienda reportar incidentes o intentos de fraude al IC3, incluyendo información relevante sobre correos, enlaces, direcciones, cuentas involucradas, pérdidas y datos técnicos disponibles. :contentReference[oaicite:6]{index=6}
Indicadores que no debes ignorar
Códigos no solicitados: mensajes que piden ingresar un código de dispositivo sin que hayas iniciado sesión.
Dispositivos desconocidos: equipos vinculados a tu cuenta que no reconoces.
Inicios de sesión extraños: accesos desde países, horarios o direcciones IP inusuales.
Correos enviados sin autorización: mensajes en tu bandeja de enviados que no escribiste.
Archivos modificados: cambios inesperados en documentos de OneDrive o SharePoint.
Qué deben hacer los usuarios para protegerse
La primera medida es simple: no ingreses códigos de dispositivo si no fuiste tú quien inició el proceso. Si recibes un correo o mensaje con un código inesperado, no lo uses, no hagas clic en enlaces adjuntos y repórtalo al área de soporte o seguridad de tu organización.
También conviene revisar regularmente la actividad reciente de la cuenta Microsoft, cerrar sesiones desconocidas y cambiar la contraseña si existe sospecha de compromiso. Aunque Kali365 puede no depender del robo de contraseña, cambiarla puede formar parte de una respuesta más amplia si hubo actividad sospechosa.
En cuentas personales, es recomendable mantener MFA activado, usar métodos resistentes al phishing cuando estén disponibles, evitar aceptar solicitudes de inicio de sesión inesperadas y revisar permisos concedidos a aplicaciones.
Regla de oro: si no iniciaste tú el acceso, no ingreses ningún código, aunque la página parezca legítima y pertenezca a Microsoft.
Medidas recomendadas para administradores de Microsoft 365
Para las organizaciones, la respuesta debe ser más técnica y preventiva. El FBI y especialistas recomiendan revisar el uso del flujo de código de dispositivo, aplicar políticas de acceso condicional, monitorear eventos sospechosos y revocar tokens cuando se detecte compromiso. :contentReference[oaicite:7]{index=7}
También es importante reforzar la capacitación del personal. El usuario final debe entender que un enlace legítimo no siempre significa una solicitud legítima. En estos ataques, el sitio de Microsoft puede ser real, pero el contexto es malicioso.
Las empresas deberían combinar controles técnicos con simulaciones de phishing, alertas de inicio de sesión, revisión de aplicaciones autorizadas y respuesta rápida ante actividad anómala.
| Medida | Objetivo | Prioridad |
|---|---|---|
| Revisar flujo de código de dispositivo | Reducir el abuso de autenticación por código en Microsoft 365. | Alta. |
| Aplicar acceso condicional | Bloquear accesos según riesgo, ubicación, dispositivo o comportamiento. | Alta. |
| Monitorear tokens y sesiones | Detectar persistencia de atacantes tras la autorización inicial. | Alta. |
| Revisar dispositivos vinculados | Identificar equipos desconocidos asociados a cuentas corporativas. | Media-alta. |
| Capacitar al personal | Evitar que usuarios ingresen códigos o aprueben accesos no solicitados. | Alta. |
Leer más: Cuidado con WormGPT: la herramienta de inteligencia artificial que facilita ataques de phishing
El riesgo para pequeñas empresas y colegios
Kali365 no afecta únicamente a grandes corporaciones. Pequeñas empresas, colegios, universidades, consultoras, estudios profesionales y organizaciones sin equipos robustos de ciberseguridad también pueden ser objetivos. De hecho, los atacantes suelen buscar cuentas con menor protección porque ofrecen acceso rápido a información sensible.
Una cuenta escolar o corporativa comprometida puede exponer documentos, listas de estudiantes, archivos administrativos, contratos, datos de clientes o conversaciones internas. Además, los atacantes pueden usar esa cuenta legítima para enviar nuevos correos de phishing a contactos de confianza.
Por ello, incluso organizaciones pequeñas deben revisar sus configuraciones de Microsoft 365, activar alertas, limitar permisos innecesarios y capacitar a usuarios no técnicos.
Consejo práctico: si tu organización usa Outlook, Teams y OneDrive, no asumas que MFA por sí solo basta. Revisa sesiones, dispositivos, permisos y alertas de acceso.
Qué hacer si sospechas que tu cuenta fue comprometida
Si crees que ingresaste un código sospechoso o detectas actividad extraña en tu cuenta, actúa rápido. Lo primero es reportarlo al equipo de TI o seguridad de tu organización. Si se trata de una cuenta personal, revisa la actividad de inicio de sesión, cambia la contraseña y cierra sesiones desconocidas.
También es recomendable revisar reglas de reenvío en Outlook, aplicaciones conectadas, dispositivos vinculados y archivos compartidos recientemente. En entornos corporativos, el área de seguridad debe revocar tokens, bloquear sesiones sospechosas y evaluar si hubo acceso a información sensible.
El FBI recomienda reportar incidentes al IC3 con la mayor cantidad de información posible, especialmente si hubo pérdida económica, robo de datos o acceso no autorizado. :contentReference[oaicite:8]{index=8}
Respuesta rápida ante sospecha de ataque
Reporta: avisa inmediatamente a TI, soporte o seguridad.
Cierra sesiones: elimina accesos de dispositivos que no reconoces.
Revoca permisos: revisa aplicaciones conectadas y accesos concedidos.
Cambia contraseña: como parte de la contención, aunque el ataque use tokens.
Revisa actividad: verifica correos enviados, archivos compartidos y reglas de reenvío.
Por qué Kali365 marca una nueva etapa del phishing
El phishing tradicional buscaba contraseñas. El phishing moderno busca sesiones, tokens, permisos y confianza. Kali365 representa esa evolución: ya no intenta necesariamente que la víctima entregue una clave, sino que autorice un acceso aparentemente legítimo.
La amenaza también confirma el crecimiento del modelo de ciberdelito como servicio. Plataformas como Kali365 empaquetan técnicas complejas y las ponen al alcance de más atacantes. Esto aumenta el volumen de campañas y dificulta que las organizaciones dependan únicamente de defensas básicas.
El mensaje para empresas y usuarios es claro: la seguridad debe enfocarse en identidad, sesiones, comportamiento y educación. Proteger una cuenta ya no es solo proteger una contraseña.
Lectura de ciberseguridad: Kali365 demuestra que el phishing evoluciona hacia el secuestro de identidad digital completa, no solo al robo de claves.
Recomendaciones finales para usuarios de Teams, Outlook y OneDrive
Para los usuarios, la recomendación principal es desconfiar de códigos no solicitados. Si no has iniciado sesión en un dispositivo nuevo, no ingreses ningún código aunque el mensaje parezca venir de Microsoft, de soporte técnico o de tu empresa.
Para las organizaciones, la prioridad es revisar configuraciones de identidad, limitar flujos de autenticación innecesarios, fortalecer el acceso condicional y mejorar la detección de actividad sospechosa. También se debe incluir este caso en campañas internas de concientización porque el ataque se apoya directamente en el error humano.
La alerta del FBI no significa que Microsoft 365 sea inseguro por defecto, sino que los atacantes están aprovechando funciones legítimas de autenticación para engañar a los usuarios. La defensa depende de combinar tecnología, monitoreo y cultura de seguridad.
Conclusión
El FBI emitió una advertencia urgente sobre Kali365, una plataforma de phishing como servicio que apunta a usuarios de Microsoft 365 y puede comprometer cuentas de Outlook, Teams y OneDrive mediante el robo de tokens OAuth.
La amenaza es especialmente peligrosa porque puede esquivar protecciones tradicionales como contraseñas fuertes y MFA si la víctima autoriza sin saberlo un código de dispositivo controlado por el atacante. Por eso, la prevención debe ir más allá de “no compartir la contraseña”.
La regla más importante es simple: nunca ingreses un código de dispositivo que no solicitaste. Para las empresas, la alerta debe servir como llamado urgente a revisar acceso condicional, tokens, dispositivos vinculados, sesiones activas y capacitación del personal.
