**Kali365**: Una Amenaza Creciente para Microsoft 365 Según el **FBI PSA**, **Kali365** surgió en abril de 2026 y se distribuye a través de canales de **Telegram**, apuntando a ciberdelincuentes que buscan una forma fácil de comprometer cuentas de **Microsoft 365** sin robar contraseñas directamente ni interceptar códigos MFA. Esto subraya la creciente sofisticación y accesibilidad de las herramientas de phishing. Phishing de Código de Dispositivo: Explotando Protocolos Legítimos La plataforma explota el phishing de código de dispositivo, un método que abusa del flujo legítimo de concesión de autorización de dispositivo OAuth 2.0 de **Microsoft**. Este flujo está destinado a dispositivos con capacidades de entrada limitadas, como televisores inteligentes y dispositivos IoT, permitiéndoles autenticarse a través de otro dispositivo utilizando un código corto en `http://microsoft.com/devicelogin`.  *Formulario de autenticación de código de dispositivo. Fuente: BleepingComputer* Como informó **BleepingComputer** en febrero, actores de amenazas, incluido el grupo **ShinyHunters**, han estado atacando cuentas de **Microsoft Entra** utilizando phishing de código de dispositivo y de voz. Los atacantes inician el proceso de autorización del dispositivo, generan un código y engañan a las víctimas para que lo ingresen en la página de inicio de sesión de **Microsoft** a través de ingeniería social. Una vez que la víctima ingresa el código y completa la MFA, **Microsoft** emite un token de acceso OAuth, otorgando al atacante acceso completo a la cuenta sin desafíos MFA adicionales. Funciones Avanzadas de Kali365 El **FBI** destaca que **Kali365** proporciona incluso a los atacantes novatos capacidades de phishing avanzadas, que incluyen señuelos de phishing generados por IA, plantillas de campaña automatizadas, paneles de seguimiento de víctimas en tiempo real y funcionalidad de captura de tokens. Esto reduce la barrera de entrada para ataques de phishing sofisticados. Investigadores de **Arctic Wolf** informaron sobre la actividad de **Kali365** en abril, observando una campaña generalizada dirigida a organizaciones a nivel mundial. Estas campañas se dirigieron principalmente a entornos de **Microsoft 365**, dirigiendo a las víctimas al portal de inicio de sesión de código de dispositivo de **Microsoft**. Los atacantes obtuvieron acceso a buzones de correo, creando reglas de bandeja de entrada maliciosas para ocultar su actividad. Algunos ataques implicaron el registro de nuevos dispositivos dentro de los entornos de **Microsoft** de las víctimas, extendiendo aún más su acceso. Modelo de Negocio y Modos de Ataque **Arctic Wolf** descubrió que **Kali365** opera como un negocio estructurado, con administradores, revendedores y afiliados. La plataforma ofrece dos modos de ataque: phishing de código de dispositivo y un modo de adversario en el medio (AitM) llamado "Cookie Link". Cookie Link proxy a las víctimas a través de infraestructura controlada por el atacante, capturando sesiones de navegador autenticadas, cookies de sesión y tokens después de que los objetivos inician sesión y resuelven los desafíos MFA. Estrategias de Mitigación El **FBI** recomienda que las organizaciones restrinjan o bloqueen los flujos de autenticación de código de dispositivo utilizando políticas de Acceso Condicional siempre que sea posible, auditen el uso existente de códigos de dispositivo y bloqueen las políticas de transferencia de autenticación. Las organizaciones afectadas deben informar incidentes al Internet Crime Complaint Center y preservar los datos relevantes. Tendencia Creciente en Phishing El phishing de código de dispositivo ha ganado tracción en 2026, con plataformas como **EvilTokens PhaaS** y **Tycoon2FA** utilizándolo también para comprometer cuentas de **Microsoft 365** y **Entra**. Esto indica un cambio más amplio hacia la explotación de mecanismos de autenticación legítimos con fines maliciosos.