La recuperación y evolución de Tycoon2FA —un kit de phishing especializado en eludir autenticaciones— confirma una tendencia peligrosa: las operaciones criminales no solo resisten las acciones policiales, sino que reutilizan y perfeccionan técnicas para explotar flujos legítimos de autenticación. Investigaciones recientes muestran que sus operadores han añadido soporte para el llamado ataque de “device code” y que están aprovechando enlaces de seguimiento legítimos, como los de Trustifi, para redirigir víctimas hacia cadenas de entrega en el navegador que terminan autorizando dispositivos controlados por los atacantes en cuentas de Microsoft 365.
El vector es simple en apariencia pero eficaz en la práctica: la víctima recibe un correo con un enlace de seguimiento que pasa por servicios legítimos y varias capas de JavaScript ofuscado; al llegar a la página fraudulenta se le pide copiar un código de dispositivo y pegarlo en microsoft.com/devicelogin, la pantalla real de Microsoft. Cuando la víctima completa el flujo, Microsoft emite tokens OAuth que el atacante puede usar para acceder a correo, calendario y almacenamiento en la nube sin necesidad de robar credenciales tradicionales ni de romper la MFA localmente. Para un atacante esto equivale a un acceso persistente y difícil de detectar.
Este método ha escalado en los últimos meses: firmas de seguridad han reportado un incremento exponencial en campañas de device-code phishing y una proliferación de kits y servicios PhaaS (Phishing-as-a-Service) que automatizan la campaña, reduciendo la barrera técnica para actores menos especializados. Puede consultarse un análisis sobre el alza de esta técnica en el informe de Proofpoint sobre la evolución del device-code phishing aquí, mientras que la reconstrucción y endurecimiento post-takedown de Tycoon2FA fue documentada por Abnormal Security en este reporte.
Una característica relevante del kit es su capacidad para camuflarse frente a investigadores y herramientas automatizadas: detecta entornos de análisis como Selenium, Playwright o burpsuite, bloquea rangos asociados a proveedores cloud y servicios de seguridad, y redirige todo tráfico sospechoso a páginas legítimas para dificultar la investigación. Esa capacidad de evasión aumenta el costo y la complejidad de la detección, y explica por qué los operadores vuelven a la actividad tras las medidas de interrupción policial.
Para equipos de seguridad y administradores de identidades, las implicaciones son claras: los controles centrados exclusivamente en la protección de credenciales ya no bastan. Es imprescindible revisar y endurecer las políticas de consentimiento OAuth, limitar el uso del flujo de dispositivo cuando no sea necesario y forzar revisiones administrativas para aplicaciones de terceros. Microsoft ofrece capacidades como Continuous Access Evaluation (CAE) y políticas de acceso condicional que ayudan a mitigar este tipo de abuso; su adopción debería acelerarse en entornos corporativos.
En paralelo a cambios de configuración, hay medidas operativas concretas: monitorizar los logs de Entra ID (antes Azure AD) en busca de autenticaciones vía device_code, rastrear el uso del “Microsoft Authentication Broker” y señales inusuales como User-Agents de Node.js, y auditar dispositivos registrados y consentimientos de aplicaciones. Cuando se detecte actividad sospechosa, conviene revocar tokens y sesiones, eliminar dispositivos no reconocidos y forzar un reconsentimiento de aplicaciones con menor privilegio.
La reutilización de servicios legítimos (por ejemplo, enlaces de tracking de plataformas de seguridad de correo) como vectores de redirección plantea otro reto: los proveedores de esas herramientas pueden terminar siendo usados sin su conocimiento o por clientes comprometidos. Si su organización detecta uso malicioso de un proveedor de tracking o entrega, contacte inmediatamente al proveedor y comparta evidencias; la coordinación entre víctimas, proveedores y equipos de respuesta acelera las mitigaciones y las posibles remociones de contenido malicioso.
Para los usuarios finales, la prevención pasa por la educación y la prudencia: desconfíe de correos inesperados que piden copiar códigos y pegarlos en otra página, confirme la veracidad de facturas o avisos contactando al emisor por canales independientes, y priorice el uso de llaves FIDO2 o métodos de MFA que no dependan de copiar/pegar códigos cuando sea posible. Aunque la MFA sigue siendo crucial, este tipo de ataques demuestra que no todos los factores de segundo factor ofrecen la misma protección frente a esquemas de consentimiento OAuth maliciosos.
Los equipos que necesiten IOC y referencias técnicas para detección y respuesta pueden consultar los recursos publicados por los investigadores; eSentire, que investigó la cadena de Tycoon2FA y sus nuevas capas de evasión, publicó detalles y recomendaciones técnicas en su análisis disponible aquí, y hay listas de indicadores publicadas en repositorios públicos que facilitan la integración en herramientas de detección y bloqueos automáticos. Adoptar estas señales, ajustar políticas de consentimiento y reforzar la telemetría de identidad son pasos urgentes para reducir el impacto de estas campañas.
En última instancia, la lección es que la guerra contra el phishing moderno exige una combinación de mejora técnica, gobernanza de identidad y cooperación sectorial: sin controles más estrictos sobre OAuth y sin una respuesta coordinada entre proveedores y organizaciones, kits como Tycoon2FA seguirán encontrando forma de reciclar infraestructuras legítimas en beneficio del fraude.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...