Como venimos contando en ADSLZone en los últimos meses e incluso años, el panorama del cibercrimen ha evolucionado hacia un modelo industrializado sumamente peligroso. Precisamente es una de estas plataformas la que está logrando esquivar las barreras de seguridad de Microsoft 365, sin necesidad de conocer tus claves. Este cambio de tendencia ha hecho que los hackers ya no pierdan tiempo tratando de descifrar contraseñas que cada vez suelen ser más complejas. En su lugar, manipulan los propios protocolos de confianza legítimos que los desarrolladores de software diseñan para facilitar la conectividad entre dispositivos.
Y es justamente eso lo que hace que cualquier organización o usuario particular esté en riesgo. Qué es Kali365 El aviso ha saltado tras un comunicado oficial emitido por el FBI. La agencia de investigación estadounidense ha detectado Kali365, una sofisticada plataforma del tipo «phishing como servicio» (PhaaS) que comenzó a operar en abril de 2026 y que se distribuye a través de canales de Telegram. Este servicio permite que incluso delincuentes informáticos con escasos conocimientos técnicos puedan desplegar campañas de hackeo a gran escala contra entornos de Microsoft 365 gracias al uso de ganchos generados por inteligencia artificial y plantillas automatizadas.
En lugar de robarte la contraseña, este ataque abusa de un flujo de autorización legítimo de Microsoft conocido como «OAuth 2.0 Device Authorization». Este protocolo se creó originalmente para permitir que dispositivos sin teclado (como una Smart TV, una impresora o un sistema de videoconferencias) pudieran iniciar sesión en la cuenta de Microsoft de un usuario introduciendo un código corto en una web de enlace totalmente legal. Los atacantes inician este proceso ellos mismos de forma remota, generan el código de vinculación y, a través de comunicaciones o correos falsos que envían al afectado, engañan al usuario para que introduzca dicho código en la página oficial de inicio de sesión de Microsoft. Una vez que la víctima introduce el código y supera la verificación de doble factor, el servidor de Microsoft emite un token de acceso OAuth.
La plataforma Kali365 captura ese token de sesión de forma automática, dando al atacante acceso total a la cuenta del usuario sin que el sistema vuelva a solicitarle ninguna confirmación de seguridad. Dos tipos de ataque La magnitud de esta campaña ha sido auditada de cerca por los investigadores de seguridad de la firma Arctic Wolf, quienes detectaron ataques masivos dirigidos a organizaciones de todo el mundo. Dicho análisis descubrió que esta plataforma opera con una estructura empresarial madura y ofrece dos modos de hackeo que, en la práctica, son muy efectivos: - Phishing de código de dispositivo: La manipulación del flujo OAuth descrita anteriormente para robar los tokens de identidad del usuario. - Modo «Cookie Link»: Un ataque del tipo «Adversary-in-the-Middle». Este sistema actúa como un proxy intermedio controlado por los hackers que roba las cookies de sesión del navegador del objetivo en tiempo real justo después de que este valide su identidad de forma legítima.
Ante los riesgos, que no son pocos ni son leves, de este enorme ataque, el FBI recomienda de forma urgente a los administradores de sistemas y empresas que restrinjan o bloqueen por completo los flujos de autenticación por código de dispositivo mediante políticas de Acceso Condicional. Asimismo, sería clave auditar el uso actual de estos códigos y denegar las directivas de transferencia que permiten que una sesión activa salte entre diferentes equipos.