Los ataques de phishing con código de dispositivo, que abusan del flujo de **OAuth 2.0** Device Authorization Grant para secuestrar cuentas, han aumentado más de 37 veces este año. En este tipo de ataque, el actor de amenazas envía una solicitud de autorización de dispositivo a un proveedor de servicios y recibe un código, que se envía a la víctima bajo diversos pretextos. A continuación, la víctima es engañada para que ingrese el código en la página de inicio de sesión legítima, autorizando así el acceso del dispositivo del atacante a la cuenta a través de tokens de acceso y actualización válidos. Este flujo fue diseñado para simplificar la conexión de dispositivos que no tienen opciones de entrada accesibles (por ejemplo, dispositivos IoT, impresoras, dispositivos de streaming y televisores inteligentes).  *Flujo de phishing con código de dispositivo. Fuente: **Push Security*** La técnica de phishing con código de dispositivo se documentó por primera vez en 2020, pero la explotación maliciosa se registró unos años después, y ha sido utilizada tanto por hackers patrocinados por estados como por actores con motivaciones financieras. Investigadores de **Push Security** observaron un aumento masivo en el uso de estos ataques, advirtiendo que han sido ampliamente adoptados por ciberdelincuentes. “A principios de marzo (2026), habíamos observado un aumento de 15 veces en las páginas de phishing con código de dispositivo detectadas por nuestro equipo de investigación este año, con múltiples kits y campañas siendo rastreados, siendo el kit ahora identificado como **EvilTokens** el más prominente. Esa cifra ha aumentado ahora a 37.5x.” - Push Security A principios de esta semana, la empresa de detección y respuesta de amenazas **Sekoia** publicó una investigación sobre la operación de phishing-as-a-service (PhaaS) **EvilTokens**. Los investigadores subrayan que es un ejemplo prominente de un kit de phishing que "democratiza" el phishing con código de dispositivo, haciéndolo accesible a ciberdelincuentes de bajo nivel. Push coincide en que EvilTokens ha sido un impulsor importante de la adopción generalizada de la técnica, pero señala que hay varias otras plataformas compitiendo en el mismo mercado, que podrían volverse más prominentes en caso de que las fuerzas del orden interrumpan EvilTokens: 1. **VENOM** - Un kit PhaaS de código cerrado que ofrece capacidades de phishing con código de dispositivo y AiTM. Su componente de código de dispositivo parece ser un clon de EvilTokens. 2. **SHAREFILE** - Un kit temático en torno a transferencias de documentos de **Citrix ShareFile**, utilizando puntos finales de backend basados en nodos para simular el intercambio de archivos y activar flujos de código de dispositivo. 3. **CLURE** - Un kit que utiliza puntos finales de API rotativos y una puerta anti-bot, con señuelos temáticos de **SharePoint** e infraestructura de backend en **DigitalOcean**. 4. **LINKID** - Un kit que aprovecha las páginas de desafío de **Cloudflare** y APIs autoalojadas, utilizando señuelos temáticos de **Microsoft Teams** y **Adobe**. 5. **AUTHOV** - Un kit alojado en workers.dev que utiliza la entrada de código de dispositivo basada en ventanas emergentes y señuelos de intercambio de documentos de **Adobe**. 6. **DOCUPOLL** - Un kit alojado en **GitHub Pages** y workers.dev que imita flujos de **DocuSign**, incluyendo réplicas inyectadas de páginas reales. 7. **FLOW_TOKEN** - Un kit alojado en workers.dev que utiliza infraestructura de backend de **Tencent Cloud**, con señuelos temáticos de RR. HH. y **DocuSign** y flujos basados en ventanas emergentes. 8. **PAPRIKA** - Un kit alojado en **AWS S3** que utiliza páginas de clonación de inicio de sesión de **Microsoft** con marca de **Office 365** y un pie de página falso de **Okta**. 9. **DCSTATUS** - Un kit minimalista con señuelos genéricos de "Acceso Seguro" de **Microsoft 365** y marcadores de infraestructura visibles limitados. 10. **DOLCE** - Un kit alojado en **Microsoft PowerApps** con señuelos temáticos de **Dolce & Gabbana**, probablemente una implementación única o de estilo red-team en lugar de un uso generalizado. Cabe señalar que, aparte de Venom y EvilTokens, los nombres de los otros kits de phishing fueron proporcionados por los investigadores de Push para rastrear la actividad maliciosa. Push Security también publicó un video que muestra cómo funciona el kit DOCUPOLL. El actor de amenazas utiliza la marca DocuSign y un señuelo para un supuesto contrato, pidiendo a la víctima que inicie sesión en la aplicación de Microsoft Office. En total, hay al menos 11 kits de phishing que ofrecen a los ciberdelincuentes este tipo de ataque, todos utilizando señuelos realistas temáticos de SaaS, protecciones anti-bot y abusando de plataformas en la nube para el alojamiento. Para bloquear los ataques de phishing con código de dispositivo, Push Security sugiere que los usuarios deshabiliten el flujo cuando no sea necesario configurando políticas de acceso condicional en sus cuentas. También se recomienda monitorear los registros en busca de eventos de autenticación de código de dispositivo inesperados, direcciones IP inusuales y sesiones.