Los ciberdelincuentes han encontrado la manera perfecta de saltarse el doble factor de autenticación (MFA) utilizando las propias herramientas legítimas de Microsoft.
La seguridad en la nube se enfrenta a una técnica que engaña incluso a los usuarios más precavidos. Este 25 de marzo de 2026, se advierte sobre una sofisticada campaña de phishing basada en códigos de dispositivo que ya ha impactado a más de 340 organizaciones de Microsoft 365 distribuidas en cinco países.
El Engaño del “Device Code”
La táctica, conocida como Device Code Phishing, abusa del flujo de autenticación OAuth diseñado originalmente para facilitar el inicio de sesión en dispositivos que no tienen un navegador web completo, como los televisores inteligentes o hardware IoT.
El ataque funciona mediante una cadena de ingeniería social sumamente pulida:
- La víctima recibe un correo electrónico que a menudo utiliza servicios legítimos como los formularios de Microsoft Dynamics Customer Voice o plataformas sin servidor como Cloudflare Workers (workers.dev) para evadir los filtros tradicionales de correo no deseado.
- El mensaje engaña al usuario para que visite el portal oficial y legítimo de Microsoft (microsoft.com/devicelogin) e ingrese un código alfanumérico proporcionado previamente por el atacante.
- Al ingresar el código y completar el inicio de sesión regular con sus credenciales y su código MFA, la víctima está autorizando sin saberlo la sesión de un dispositivo remoto controlado por el criminal.
- Como resultado, el atacante captura de forma invisible un token de acceso y un token de actualización (que puede ser válido hasta por 90 días), obteniendo control persistente sobre los correos, archivos de SharePoint y todo el entorno de Microsoft 365 de la víctima.
Remediación Urgente
El peligro extremo de este ataque es que la MFA tradicional no ofrece protección alguna, ya que es el propio usuario legítimo quien realiza el desafío de seguridad en nombre del atacante.
Los analistas recomiendan a los administradores de TI tomar medidas inmediatas para endurecer sus infraestructuras. Las mitigaciones más críticas incluyen bloquear los flujos de autenticación de códigos de dispositivo mediante políticas de Acceso Condicional (Conditional Access) para cualquier cuenta que no necesite explícitamente esta función, exigir que las autenticaciones solo provengan de dispositivos corporativos registrados, y habilitar la Evaluación Continua de Acceso (CAE) para reducir el tiempo de vida de los tokens robados.
