Alerta por phishing de código de dispositivo que afecta a más de 340 organizaciones
Publicado el
Nueva campaña de phishing
Investigadores en ciberseguridad han detectado una campaña activa de phishing que utiliza códigos de dispositivo para comprometer identidades de Microsoft 365 en más de 340 organizaciones en Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania. Esta actividad, identificada por Huntress, comenzó el 19 de febrero de 2026 y ha ido en aumento desde entonces.
Técnicas utilizadas
La campaña se basa en redirecciones de Cloudflare Workers, donde las sesiones capturadas se envían a una infraestructura alojada en un servicio de plataforma como servicio (PaaS) llamado Railway, convirtiéndose en un motor para la recolección de credenciales. Sectores como la construcción, organizaciones sin ánimo de lucro, inmobiliarias, manufactura, servicios financieros, sanidad, legal y gubernamental son algunos de los principales objetivos.
Huntress ha señalado que lo que hace inusual a esta campaña no es solo la técnica de phishing con código de dispositivo, sino la variedad de métodos utilizados. Los atacantes emplean ganchos como ofertas de construcción, generación de código para páginas de aterrizaje, suplantación de DocuSign, notificaciones de correo de voz y abuso de páginas de Microsoft Forms.
Funcionamiento del ataque
El phishing con código de dispositivo explota el flujo de autorización de dispositivos de OAuth, permitiendo al atacante obtener tokens de acceso persistentes que pueden utilizarse para tomar el control de cuentas de las víctimas. Lo más preocupante de este método es que los tokens permanecen válidos incluso después de que se restablece la contraseña de la cuenta.
El proceso del ataque es el siguiente: el atacante solicita un código de dispositivo al proveedor de identidad (como Microsoft Entra ID) a través de la API legítima. Este servicio devuelve un código que el atacante utiliza para engañar a la víctima, pidiéndole que visite una página de inicio de sesión y que introduzca el código junto con sus credenciales y el código de autenticación de dos factores (2FA).
Una vez que la víctima introduce el código, se generan un token de acceso y un token de actualización que el atacante puede recuperar posteriormente. Este método permite a los atacantes acceder a la cuenta sin necesidad de la contraseña, siempre que conozcan el código de dispositivo inicial.
Grupos involucrados
La técnica de phishing con código de dispositivo fue observada por primera vez por Microsoft y Volexity en febrero de 2025, con posteriores oleadas documentadas por Amazon Threat Intelligence y Proofpoint. Se ha atribuido a varios grupos alineados con Rusia, como Storm-2372, APT29 y UNK_AcademicFlare.
Infraestructura del ataque
La campaña detectada por Huntress utiliza un pequeño conjunto de direcciones IP de Railway.com, tres de las cuales representan aproximadamente el 84% de los eventos observados. Los correos electrónicos de phishing se envían con URL maliciosas que utilizan servicios de redirección de proveedores de seguridad legítimos como Cisco, Trend Micro y Mimecast para eludir filtros de spam.
Los sitios de aterrizaje observados dirigen a la víctima a la página de autenticación de código de dispositivos de Microsoft, donde se les pide que introduzcan un código para acceder a ciertos archivos. Esta estrategia permite a los atacantes presentar el código directamente en la página, facilitando el engaño.
Recomendaciones de seguridad
Para mitigar esta amenaza, se aconseja a los usuarios que revisen los registros de inicio de sesión en busca de accesos desde direcciones IP de Railway, revoquen todos los tokens de actualización de los usuarios afectados y bloqueen los intentos de autenticación desde la infraestructura de Railway siempre que sea posible. Huntress ha atribuido el ataque a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que apareció recientemente en Telegram.