Las empresas que confían en servicios de inicio de sesión único (SSO) como Okta acaban de recibir una alerta que vuelve a demostrar cuán creativos y peligrosos son los atacantes cuando combinan ingeniería social con herramientas técnicas. Investigadores de Okta han identificado kits de phishing diseñados específicamente para ataques por teléfono —conocidos como vishing— que funcionan como plataformas “adversario-en-el-medio” en tiempo real y se ofrecen en un modelo «como servicio». Estos kits no son páginas estáticas: permiten a quien llama interactuar y modificar lo que ve la víctima mientras ocurre la llamada, facilitando el robo de credenciales y la evación de múltiples mecanismos de defensa.
Según el informe publicado por Okta, estos kits incluyen un panel de control desde el que el atacante guía el flujo de autenticación, actualiza diálogos mostrados en la web y sincroniza las pantallas con las solicitudes que el servicio legítimo emite al momento de un inicio de sesión. De este modo, cuando la víctima escribe su usuario y contraseña en la página fraudulenta, esas credenciales son reenviadas al atacante para intentar el acceso real inmediatamente. Si aparece un reto de autenticación adicional —como una notificación push o un código TOTP—, el atacante puede cambiar la interfaz que ve la víctima para que coincida con la petición legítima y así convencerla de aprobar o introducir el código que acaba de recibir, todo mientras mantiene la conversación telefónica.
Los atacantes actúan con planificación: realizan reconocimiento previo para saber qué aplicaciones usa una persona objetivo y los números de teléfono asociados al soporte de la compañía, crean páginas de phishing personalizadas que imitan dominios internos (por ejemplo, variantes que incluyen «internal» o «my» junto al nombre de la empresa) y llaman desde números suplantados que aparentan ser del servicio de ayuda. En muchos de los incidentes documentados, los flujos de datos entre la página de phishing y el backend del atacante se retransmiten en tiempo real mediante tecnologías como Socket.IO y a través de canales de mensajería como Telegram, lo que permite manejar la sesión de la víctima de forma inmediata.
Este enfoque convierte al SSO en un objetivo especialmente atractivo: un único inicio de sesión puede dar acceso a una lista de aplicaciones corporativas —correo, almacenamiento en la nube, CRM, herramientas de colaboración y más— por lo que comprometer una cuenta puede abrir la puerta a un gran volumen de información valiosa. Okta y los medios que han cubierto el caso describen cómo, una vez dentro del panel de Okta, los atacantes revisan qué aplicaciones están asociadas a la cuenta comprometida y extraen datos de las que contienen información sensible —con menciones concretas a plataformas como Salesforce entre las más explotadas— para luego exigir extorsión o vender la información.
Una de las técnicas más preocupantes que permiten estos kits es la capacidad de sortear mecanismos modernos de MFA basados en notificaciones push y «number matching». Al indicarle a la víctima exactamente qué número o acción seleccionar en la notificación, y al mostrar simultáneamente en la página fraudulenta un diálogo idéntico, el atacante logra que una aprobación parezca legítima. Lo mismo ocurre con los códigos TOTP: si el operador en la llamada solicita el código y la víctima lo introduce en la web apócrifa, ese valor llega al atacante y se usa al instante para completar la autenticación.
Okta recomienda a sus clientes migrar hacia métodos de autenticación resistentes a phishing, como claves FIDO2, passkeys o su propia solución FastPass, que reducen drásticamente la eficacia de este tipo de ataques porque no dependen de códigos o aprobaciones que pueden ser retransmitidos por el intermediario. Puedes leer el aviso técnico y las recomendaciones de Okta en su entrada sobre cómo estos kits se adaptan al guion de los que llaman en: Okta: Phishing kits adapt to the script of callers. Okta asimismo mantiene orientación práctica para identificar y mitigar campañas de ingeniería social dirigidas a mesas de ayuda en: Help desks targeted in social engineering.
La prensa especializada ha investigado y documentado casos concretos en los que estos kits se han usado en ataques contra empresas de sectores financieros y de gestión patrimonial, y cómo los delincuentes han combinado acceso inicial con extorsión posterior. Un buen resumen periodístico de lo ocurrido puede consultarse en la cobertura de BleepingComputer: BleepingComputer: Okta warns of vishing phishing kits.
¿Qué pueden hacer las organizaciones y las personas para reducir el riesgo? La respuesta pasa por varios frentes que van desde la tecnología hasta los procesos y la cultura de seguridad. Limitar la exposición de credenciales delegadas y aplicar el principio de menor privilegio en el acceso a apps reduce el impacto de un compromiso. Implementar y priorizar factores de autenticación que no sean susceptibles de ser retransmitidos por un intermediario —las claves hardware y las credenciales basadas en estándares FIDO son un ejemplo— ofrece una defensa efectiva frente a estos kits en tiempo real. Además, adoptar controles que detecten comportamientos inusuales en los inicios de sesión, inspeccionar y bloquear dominios de phishing conocidos y fortalecer los procedimientos de verificación para llamadas entrantes al soporte técnico ayuda a cortar el vector de ingeniería social por teléfono.
También es clave la formación continua del personal: enseñar a verificar la autenticidad de llamadas de soporte, a no introducir credenciales en páginas que llegan por enlaces no verificados y a usar canales seguros para confirmar interacciones sensibles. Los centros nacionales de ciberseguridad ofrecen guías prácticas sobre cómo reconocer y responder a phishing y vishing, por ejemplo la documentación del Reino Unido en el National Cyber Security Centre: NCSC: Phishing guidance, y organizaciones como la FIDO Alliance explican por qué las tecnologías basadas en claves públicas dificultan la vida a los atacantes: FIDO Alliance.
Estos incidentes muestran dos lecciones claras: primero, que los atacantes siguen refinando la mezcla entre ingeniería social y automatización para crear ataques muy efectivos; y segundo, que la seguridad basada únicamente en contraseñas y en factores que puedan ser retransmitidos dejará siempre una puerta abierta. Llevar a cabo migraciones planificadas hacia autenticación resistente a phishing, combinar detección proactiva con prácticas de verificación humana y reducir la superficie de acceso mediante políticas de permisos estrictas son pasos que ya no pueden demorarse para las organizaciones que manejan datos sensibles.
Si quieres profundizar en la investigación original y en las recomendaciones técnicas, revisa el análisis de Okta y la cobertura periodística enlazada arriba; ambas lecturas ofrecen contexto y pasos concretos para empezar a endurecer defensas frente a este tipo de campañas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...