Volonaut Airbike: ingeniero construye una moto voladora inspirada en Star Wars | VIDEODesarrollan un implante que lee y modula el cerebro para tratar patologías nerviosasEvilTokens es un nuevo kit de ‘phishing’ con el que los atacantes pueden tener acceso a cuentas corporativas, incluso cuando cuentan con autenticación multifactor (MFA), al operar de forma encubierta a través de servicios legítimos de Microsoft.La compañía de ciberseguridad ESET ha alertado sobre EvilTokens, un kit de ‘phishing’ como servicio (PhaaS), que tiene como objetivo comprometer cuentas de Microsoft 365 mediante un sistema de engaño a través de un mecanismo legítimo de autenticación.MIRA: Cómo un mensaje oculto en una demanda intentó engañar a una IA en un tribunal de BrasilEste enfoque de ‘cibercrimen como servicio’ ya está siendo utilizado en campañas avanzadas en las que se usan otro tipo de enfoques en ataques ejecutados por Inteligencia Artificial (IA), como sucedió cuando un solo ciberdelincuente hackeó 9 agencias gubernamentales.El director de investigación y concienciación de ESET España, Josep Albors, afirma que “durante años hemos enseñado a los usuarios a desconfiar de enlaces sospechosos o páginas de inicio de sesión falsas, pero ataques como EvilTokens demuestran que los delincuentes están adaptando sus tácticas”.El kit EvilTokens basa su estratagema en un estilo de ataque que usa códigos de dispositivo que permiten a los atacantes obtener acceso a cuentas corporativas.Estas cuentas ni siquiera se salvan de este tipo de ataque cuando utilizan la autenticación multifactor, un sistema que ha servido como una barrera infranqueable para muchos de los ataques cibernéticos que suelen sufrir las organizaciones.“En este caso, la víctima interactúa con una página legítima de Microsoft y completa un proceso de autenticación real, lo que hace que el fraude resulte mucho más difícil de detectar”, indica Albors para mostrar la peligrosidad de este tipo de técnica que aparece como un acceso legítimo cuando realmente se está autorizando el acceso a un ciberdelincuente.Esta nueva estratagema, según explica ESET, comienza cuando los atacantes generan un código de dispositivo válido y se incorpora a todos esos componentes y acciones cotidianas de cualquier empleado como un correo electrónico, una factura e incluso solicitudes de acceso a plataformas corporativas.El gancho para desmoronar las resistencias, que podría tener un empleado ante un ataque de ‘phishing’, sucede cuando es dirigido a una página legítima de Microsoft, en la cual acaba introduciendo dicho código y acaba por completar el proceso de autenticación.Aquí, Albors alerta de que “este tipo de acceso puede utilizarse posteriormente para el robo de información, la exfiltración de datos o el lanzamiento de ataques de compromiso del correo electrónico corporativo (BEC), especialmente contra departamentos de finanzas, recursos humanos, logística o ventas”.Que EvilTokens sea capaz de engañar de esta forma a la posible víctima se debe a que utiliza el flujo de autorización de dispositivos OAuth 2.0, que se caracteriza por la comodidad que ofrece para iniciar sesión en dispositivos como Smart TVs o impresoras conectadas.MIRA: Mundial 2026: las tendencias que marcan la forma de vivir el fútbol en TikTokCon este tipo de ataque de ‘phishing’, las organizaciones se enfrentan a dos graves problemas. El primero, es que se eliminan muchos de los indicadores con los que se puede identificar que la víctima se encuentra frente a un ataque de esta índole.El segundo tiene que ver con las recomendaciones, ya que ponen en estado de alarma al usuario que tendrá que tomar medidas más drásticas y proactivas para no caer en estas nuevas artimañas más complejas.Estas son, según indica ESET, desde desconfiar de cualquier solicitud inesperada para introducir un código de autenticación hasta verificar qué aplicación solicita permisos antes de una aprobación de acceso, al igual que no asumir que una petición es segura solo porque únicamente se produzca en una página legítima.Otras recomendaciones son informar al departamento de TI ante cualquier solicitud de código, mantenerse alerta ante notificaciones de inicio inusuales y, si se gestiona la seguridad de una empresa, limitar el uso de los flujos de códigos de dispositivo cuando no sean estrictamente necesarios.