Los ciberdelincuentes están engañando a los usuarios para que aprueben inicios de sesión maliciosos utilizando los propios portales legítimos de Microsoft, dejando a los antivirus completamente ciegos.
El robo de credenciales tradicional está evolucionando hacia métodos mucho más silenciosos y difíciles de rastrear. Hoy, 12 de marzo de 2026, se reporta una agresiva oleada de ataques que logran secuestrar cuentas de Microsoft 365 abusando del flujo de Autorización de Dispositivos OAuth, lo que permite a los piratas informáticos eludir por completo la autenticación multifactor (MFA) sin robar una sola contraseña.
Analistas de seguridad han detectado un aumento drástico en estas tácticas, identificando más de 180 URLs maliciosas asociadas en una sola semana. Este método representa un dolor de cabeza masivo para los Centros de Operaciones de Seguridad (SOC), ya que dirige a las víctimas a través de páginas de autenticación de Microsoft completamente legítimas y conexiones HTTPS reales, no activando ninguna alerta de reputación de dominio.
La Mecánica del Engaño
El flujo de Códigos de Dispositivo OAuth fue diseñado originalmente para equipos con interfaces limitadas, como televisores inteligentes o sistemas de salas de conferencias que no pueden mostrar una página de inicio de sesión completa. Los atacantes han convertido esta función en un arma altamente efectiva:
- El ciberdelincuente inicia una solicitud de autorización de dispositivo, lo que genera un “código de usuario” (una cadena corta visible) y un “código de dispositivo” (un token de sesión interno que el atacante guarda).
- La víctima es dirigida a una página de phishing, frecuentemente disfrazada como una notificación de firma de documentos de DocuSign, donde se le instruye copiar el código y pegarlo en el portal oficial microsoft.com/devicelogin.
- Dado que el destino es un dominio genuino de Microsoft, la víctima no ve ninguna bandera roja y completa su verificación MFA con normalidad.
- Al ingresar el código en el portal legítimo, el usuario autoriza sin saberlo la sesión que fue abierta por el atacante, entregándole inmediatamente tokens de acceso y actualización OAuth válidos.
Impacto Persistente y Evasión Avanzada
Al obtener los tokens de actualización, los atacantes logran un acceso persistente a los correos electrónicos, documentos y recursos compartidos de la empresa. Las industrias más afectadas actualmente son Tecnología, Educación, Manufactura y Gobierno en Estados Unidos e India, con gran parte de la infraestructura de ataque alojada de forma encubierta en dominios de Cloudflare Workers.
Para defenderse de esta amenaza invisible, los investigadores señalan que es imperativo que los equipos defensivos vayan más allá del bloqueo de dominios. Se requiere emplear herramientas avanzadas de descifrado SSL y análisis en entornos aislados (sandbox) para exponer las llamadas ocultas a la API (como /api/device/start) y el uso de encabezados distintivos (como X-Antibot-Token) en el tráfico de red.
