Un nuevo kit malicioso llamado EvilTokens ha vuelto a poner sobre la mesa una técnica que, aunque conocida por la comunidad de seguridad, sigue resultando efectiva y peligrosa: el abuso del flujo de autorización para dispositivos de OAuth 2.0 para secuestrar cuentas corporativas. Investigadores de la firma de detección y respuesta Sekoia han documentado campañas que utilizan este kit y confirman que se trata de un servicio fraudulento en constante evolución, ofrecido a compradores a través de Telegram y con la intención declarada de ampliar su alcance a plataformas adicionales como Gmail y Okta. Puedes leer el análisis técnico y los indicadores de compromiso en el informe de Sekoia publicado por los investigadores.
La técnica que explotan estos ataques se apoya en el denominado "device code flow" de OAuth 2.0, diseñado originalmente para permitir la autenticación en dispositivos con interfaces limitadas. En esencia, el flujo genera un código de dispositivo que el usuario final debe introducir o autorizar desde un navegador en un segundo dispositivo; el problema aparece cuando ese proceso se manipula para que la víctima, creyendo estar validando un servicio legítimo, termine entregando al atacante tokens de acceso y refresh tokens. El estándar que describe este mecanismo está disponible públicamente en la especificación RFC 8628 aquí, y Microsoft también documenta su implementación y uso en Azure AD en su documentación para desarrolladores sobre el flujo de dispositivo.
En las campañas analizadas por Sekoia, la puerta de entrada no es un correo binario ni un exploit complejo, sino un señuelo bien confeccionado: documentos en formatos habituales —PDF, HTML, DOCX, XLSX o incluso SVG— que contienen un código QR o un enlace hacia plantillas de phishing creadas por EvilTokens. Estos lures imitan documentos empresariales creíbles, como órdenes de compra, avisos de nómina, invitaciones a reuniones o supuestos ficheros compartidos por servicios de confianza como DocuSign o SharePoint; por eso suelen dirigirse a perfiles específicos dentro de las empresas, especialmente finanzas, recursos humanos, logística o ventas. Al abrir el enlace, la víctima se encuentra con una página que simula ser un servicio legítimo y le pide una verificación mediante un código; tras pulsar un botón —por ejemplo “Continuar a Microsoft”— es redirigida al sitio auténtico de inicio de sesión de Microsoft para completar la autorización, sin sospechar que ese mismo acto entrega credenciales al atacante.
El vector de abuso es ingenioso porque el agresor utiliza una aplicación cliente legítima para solicitar el código de dispositivo y, al orientar a la víctima para que lo ingrese en la URL genuina de Microsoft, consigue recibir tanto un token de acceso temporal como un refresh token que permite mantener acceso persistente. Con esos tokens, el atacante no solo puede leer y enviar correos, acceder a archivos y conversaciones de Teams, o moverse lateralmente por servicios con inicio de sesión único, sino también automatizar acciones de compromiso empresarial (BEC) para suplantar identidades, mover dinero o extraer información sensible. Sekoia detectó operaciones con alcance internacional; entre los países más afectados figuran Estados Unidos, Canadá, Francia, Australia, India, Suiza y Emiratos Árabes Unidos.
Lo más preocupante es que EvilTokens se comercializa como phishing-as-a-service (PhaaS), lo que facilita que actores con distintos niveles de habilidad lo empleen a gran escala. Según los investigadores, el kit incorpora plantillas diversas y herramientas de automatización específicamente pensadas para facilitar ataques de suplantación corporativa, y el autor ya anuncia soporte futuro para otros proveedores de identidad. Ese modelo de negocio reduce la barrera de entrada para campañas masivas y, al centralizar el desarrollo en un único kit en evolución, permite a los operadores actualizar plantillas y técnicas con rapidez.
Para las organizaciones y defensores existe una combinación de medidas técnicas y de concienciación que puede mitigar este riesgo. La primera línea de defensa es la prevención y la segmentación del uso de flujos de OAuth: revisar qué aplicaciones tienen permisos de acceso, aplicar políticas de consentimiento para aplicaciones y restringir el uso del device code flow cuando no sea necesario. Complementariamente, controles de acceso condicional y políticas que evalúen la reputación del cliente, la localización o el riesgo de sesión pueden bloquear intentos anómalos de obtener tokens. En paralelo, la detección debe contemplar el análisis de tokens emitidos, alertas sobre refresh tokens aplicados desde ubicaciones inesperadas y la auditoría de consentimientos de aplicaciones. Los equipos de respuesta pueden apoyarse en las reglas YARA y los IoC que Sekoia ha puesto a disposición en su informe para identificar infraestructura relacionada con EvilTokens y patrones de campaña.
No hay que olvidar el componente humano: la ingeniería social sigue siendo el vector más efectivo. Por eso es crucial que los empleados estén formados para identificar correos con documentos sospechosos, comprobar la autenticidad de los remitentes y evitar escanear códigos QR o pulsar enlaces sin verificar. Las organizaciones deben promover procedimientos claros para confirmar solicitudes de información sensible o transferencias y ofrecer canales seguros alternativos para validar comunicaciones críticas; en el caso de dudas sobre la legitimidad de un recurso, verificar la URL y confirmar por otros medios evita muchos incidentes.
Para profundizar en cómo funciona el flujo de dispositivos y por qué puede ser explotado, es recomendable revisar tanto la especificación técnica de OAuth 2.0 para device codes (RFC 8628) como las guías de implementación de los proveedores de identidad que su empresa utilice. Además, guías generales sobre suplantación y compromisos de correo empresarial publicadas por organismos de ciberseguridad ayudan a contextualizar las amenazas y las mejores prácticas para responder. Recursos útiles incluyen la documentación de Microsoft sobre el flujo de dispositivo y el análisis de Sekoia sobre EvilTokens, así como material de agencias como la CISA sobre fraudes por correo corporativo relacionados con BEC y recomendaciones de centros nacionales de seguridad sobre phishing y buenas prácticas en la web.
En definitiva, EvilTokens es un recordatorio robusto de que las amenazas evolucionan en el punto donde la conveniencia técnica se cruza con la confianza humana. No se trata solo de tapar un fallo técnico, sino de endurecer la cultura de seguridad y los controles de identidad para reducir tanto la superficie expuesta como el impacto de una credencial comprometida. Las organizaciones que combinen políticas de acceso estrictas, monitorización activa de tokens y formación focalizada en ingeniería social estarán mejor preparadas para detectar y neutralizar este tipo de ataques antes de que provoquen daños significativos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...