Hace unos años la técnica conocida como “device code phishing” era algo que se estudiaba en conferencias y se describía en papers técnicos; hoy ya es una herramienta corriente en el arsenal del crimen digital. En esencia, los atacantes se aprovechan de una característica legítima del ecosistema OAuth 2.0 —el llamado Device Authorization Grant— diseñada para facilitar el inicio de sesión en dispositivos sin teclado o con entrada limitada, como televisores inteligentes, impresoras o consolas. En lugar de intentar robar contraseñas, el atacante inicia una solicitud de autorización desde su propio equipo, obtiene un código corto y se lo envía a la víctima con un pretexto convincente: un contrato por firmar, un documento que “necesita revisión”, o una supuesta notificación urgente de un servicio conocido.
Cuando la persona introduce ese código en la página de acceso legítima, lo que está haciendo en realidad es conceder acceso a la sesión iniciada por el atacante. El flujo, que genera tokens de acceso y refresh válidos, permite a quien inició la petición acceder a la cuenta sin haber conocido la contraseña ni romper la autenticación multifactor. Es una estafa que utiliza las propias reglas del protocolo en su contra, aprovechando la confianza en los flujos de autentificación y la urgencia creada en el engaño. Si quieres revisar la especificación técnica original que describe este mecanismo, la RFC 8628 explica el Device Authorization Grant: https://datatracker.ietf.org/doc/html/rfc8628.
Investigadores de seguridad llevan advirtiendo sobre este método desde 2020, pero ha sido en los últimos meses cuando su adopción se ha disparado. Firmas especializadas han documentado un aumento monumental en la detección de páginas y kits que automatizan el fraude: una casa de investigación señaló que, en cuestión de semanas, el volumen de páginas detectadas pasó de ser decenas a multiplicarse por más de treinta en lo que va de año. Puedes leer análisis técnicos y ejemplos de campañas en el trabajo de equipos como Push Security y en informes especializados: Push Security y el informe publicado por Sekoia sobre la operación EvilTokens (SEKOIA Research).
El salto en popularidad no es casual. Han emergido servicios y kits de phishing que empaquetan la técnica en forma de “phishing-as-a-service”, lo que baja la barrera de entrada para criminales con pocos conocimientos técnicos. Estos kits reproduzcan de forma convincente interfaces de proveedores SaaS —servicios de correo, plataformas de firma electrónica, portales corporativos— y los combinan con protecciones anti‑bots y hosting en infraestructuras en la nube para evitar ser derribados o detectados con facilidad. Algunos kits se centran en señuelos temáticos (documentos de firma, transferencias de archivos, notificaciones de Office/Adobe/SharePoint), lo que incrementa la probabilidad de que la víctima confíe en la petición y copie el código recibido.
Lo que hace especialmente peligrosa esta técnica es que no requiere robar contraseñas ni inyectar malware para lograr el acceso. Los tokens emitidos son legítimos y, salvo que existan controles adicionales, permiten mantener sesiones, mover información y establecer persistencia con refresh tokens. Además, la actividad puede parecer normal en muchas plataformas si los equipos de detección no están monitoreando específicamente eventos relacionados con autenticaciones por código de dispositivo o con patrones inusuales de creación de dispositivos autorizados.
Frente a este escenario, la defensa exige cambios tanto a nivel técnico como de conducta. En entornos corporativos conviene revisar si el uso del Device Authorization Grant es realmente necesario para ciertos perfiles y deshabilitarlo cuando no lo sea mediante políticas de acceso condicional; Microsoft, por ejemplo, documenta cómo funciona este flujo y las opciones de control en su plataforma de identidad: Device code flow (Microsoft identity platform) y sus guías sobre políticas condicionales: Azure AD Conditional Access. También es buena práctica instrumentar y revisar los registros de autenticación en busca de eventos de código de dispositivo inesperados, inicios de sesión desde IPs o ubicaciones dispares, y sesiones que no concuerden con patrones habituales del usuario.
Para los usuarios finales, la recomendación es simple y contundente: no introduzcas códigos que no solicitaste o que te hayan llegado sin un contexto claro. Si recibes un mensaje aparentemente urgente que te pide escribir un número en una web, verifica la fuente por otra vía —contactando directamente al remitente por un canal conocido, o consultando el servicio oficial— antes de actuar. Complementar las cuentas críticas con métodos de seguridad más rígidos, como claves de seguridad físicas o autenticadores que no dependan de flujos automatizables, añade una capa extra de protección frente a este tipo de estafas.
La presión sobre quienes proveen servicios en la nube y herramientas de identidad también es alta. Los equipos de plataforma pueden mitigar parte del riesgo implementando controles por defecto más restrictivos, mejorando la telemetría para detectar usos legítimos frente a abusivos del flujo de código y dificultando que páginas clonadas interactúen de modo transparente con los endpoints de autorización. Mientras tanto, los operadores de estos kits siguen aprovechando la facilidad con la que se pueden desplegar páginas convincentes y la comodidad de las plataformas en la nube para hospedar infraestructura maliciosa.
Si quieres profundizar en ejemplos y casos recientes de campañas que emplean estos kits —incluido el servicio conocido como EvilTokens y otras familias que han aparecido en los últimos meses— hay varios análisis accesibles en la prensa técnica y en los reportes de las compañías que investigan amenazas. Un buen punto de partida es el artículo de BleepingComputer que resume la proliferación de estos servicios y enlaza a investigaciones técnicas: BleepingComputer sobre EvilTokens, así como el análisis de SEKOIA Research citado arriba.
En definitiva, estamos ante una evolución del fraude digital que toma ventaja de mecanismos legítimos. No se trata de un fallo mágico que pueda arreglarse con una sola medida, sino de una combinación de ingeniería social, abuso de protocolos y profesionalización del delito que exige respuesta coordinada: aplicar políticas técnicas en plataformas, mejorar la monitorización y, sobre todo, mantener a las personas informadas para que no entreguen acceso por impulso.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...