Hablar de campañas de phishingcon errores ortográficos, gramaticales y diseño rudimentario quedó demodé. Hoy, esta amenaza ha evolucionado, y EvilTokens es un ejemplo reciente y representativo de esta evolución: no falsifica páginas de inicio de sesión (logins), sino que usa los procesos de autenticación legítimos para robar el acceso.

Esta novedosa campaña de phishing, detectada por el equipo de Detección e Investigación de Amenazas de Sekoia y con gran actividad en marzo de 2026, ya no se vale de un mail falso, una página clonada y del robo de credenciales.

En este esquema, es la víctima la que ingresa a un sitio real, interactúa con la infraestructura legítima de Microsoft, donde el proceso de autenticación utiliza servicios oficiales: la autenticación es válida y es la propia víctima quien autoriza el acceso. El ciberatacante no roba la contraseña para ingresar, sino que obtiene tokens de sesión legítimos emitidos por el proveedor de identidad.

De este modo, el ciberatacante obtiene una sesión legítima, autenticada correctamente, con el multifactor de autenticación (MFA) aprobado y hasta emitida por Microsoft. Y todo ello sin la necesidad de robar una contraseña o vulnerar a la plataforma, ya que es la víctima quien autoriza el acceso.

A continuación, analizaremos cómo funciona esta campaña de phishing, de qué manera roba cuentas y cómo pueden protegerse los usuarios ante una amenaza tan actual como peligrosa.

¿Qué es EvilTokens?

EvilTokens es una plataforma de Phishing as a Service que busca comprometer cuentas de Microsoft 365, incluso aquellas con multifactor de autenticación activado, abusando del flujo de código de dispositivo OAuth.

Los cibercriminales engañan a la víctima para que completen el proceso de autenticación en las páginas oficiales de inicio de sesión de Microsoft. De esta forma logran acceder a los recursos y datos sin levantar sospechas, como si se tratara de una actividad habitual de la víctima.

Esta campaña, activa desde al menos febrero de 2026, circula a través de canales de Telegram. Solo durante marzo, según publica Huntress, afectó casi 350 organizaciones, con especial foco en Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania.

Desde mediados de marzo de 2026, Microsoft observó el lanzamiento de entre 10 y 15 campañas distintas cada 24 horas.

El ataque: paso a paso

Para comprender de qué manera opera EvilTokens, detallaremos el paso a paso del ataque:

1. Validación

El ciberatacante, primero, verifica si la cuenta realmente existe. ¿Cómo? A través de una función legítima de Microsoft, que permite confirmar su existencia. Este reconocimiento previo suele hacerse varios días antes del phishing, para asegurarse de atacar únicamente cuentas válidas y aumentar las chances de éxito.

2. Inicio de autenticación

El ciberdelincuente genera un pedido de acceso legítimo, valiéndose del flujo OAuth Device Code de Microsoft. Dicho de una manera más llana, “abre” una sesión para la cual Microsoft genera un código temporal, que queda a la espera de la autorización. Esto es clave: ese código es el que queda asociado a la sesión del ciberatacante.

3. El engaño

Luego, el ciberatacante envía a la víctima un mensaje convincente a través del correo, una invitación, un supuesto documento o una alerta corporativa. Para eso utiliza frases anzuelo del tipo “Complete la validación en Microsoft”, “Tienes un documento pendiente”, “Firma requerida”, entre otras excusas.

4. Ingreso a Microsoft

Si la víctima cae en el engaño y hace clic en el enlace, será redirigida al portal real de Microsoft, donde tanto el dominio como el flujo de autenticación son genuinos, lo que hace que el ataque resulte especialmente convincente.

5. Ingreso del código

Este paso es crítico, ya que el código NO pertenece a una acción iniciada por la víctima, sino a la sesión que inició previamente el ciberatacante. Así, y sin saberlo, la víctima está vinculando su cuenta a la sesión del actor malicioso.

6. Aprobación del acceso

Debido a la acción que se desencadena tras el ingreso del código, Microsoft interpreta que el usuario autorizó esta sesión. Por ello, emite access tokens (credenciales temporales que permiten acceder a una cuenta ya autenticada sin volver a ingresar usuario y contraseña) y refresh tokens (de mayor duración, que permiten generar nuevos access tokens de forma automática). La mala noticia es que esos tokens se entregan a la sesión que controla el ciberatacante.

La clave del ataque de EvilTokens

OAuth Device Code Flow, esa es la clave del éxito del ataque de EvilTokens. O, mejor dicho, el abuso de ese mecanismo legítimo de autenticación de Microsoft.

Diseñado para dispositivos con capacidades limitadas (léase Smart TVs, impresoras o equipos IoT), permite iniciar sesión manualmente en los casos en los que puede resultar incómodo.

¿Cómo funciona? Un dispositivo solicita el código, el usuario ingresa a la página de Microsoft e introduce el código recibido. Luego, Microsoft valida la autenticación y emite tokens de acceso para el dispositivo.

El problema aparece cuando el flujo es abusado por un ciberatacante, el cual logra generar device codes para luego distribuirlos a través de campañas de phishing.

Si la víctima no identifica que se trata de un engaño e ingresa el código en el portal legítimo, Microsoft entregará tokens válidos, pero asociados a la sesión controlada por el ciberatacante.

¿Por qué EvilTokens es tan peligroso?

EvilTokens es especialmente peligroso porque no presenta las “banderas rojas” clásicas del phishing: no utiliza dominios sospechosos ni presenta errores visuales o gramaticales. Por el contrario, todo en el flujo es técnicamente legítimo: el sitio, el MFA y el proceso de autenticación.

Dicho en otras palabras, al ocurrir dentro de la infraestructura de Microsoft, la víctima confía y no sospecha que se trata de un engaño.

Otro punto crítico sobre la peligrosidad de EvilTokens es que, cuando el ataque es efectivo, el cibercriminal obtiene acceso persistente a correos electrónicos y documentos corporativos, lo que abre la posibilidad concreta de realizar fraudes especialmente dirigidos o del tipo business email compromise (BEC).

En este contexto, no resulta casual que las áreas predilectas a las que apuntan los cibercriminales sean los departamentos de Finanzas, Recursos Humanos, Logística, así como también cargos ejecutivos.

¿Cómo no caer en esta nueva campaña de phishing?

EvilTokens representa una evolución en las campañas de phishing, y por eso es necesario tener claras las acciones que pueden reducir sensiblemente el riesgo de ser víctima de este engaño:

  • Desconfiar: una práctica clave es mirar de reojo cualquier pedido de código de autenticación que llegue de manera inesperada. A su vez, es importante saber que ningún documento, correo o plataforma debería pedir el ingreso de un device code recibido sin un contexto claro.
  • Verificar: siempre debes revisar qué aplicación estás autorizando, qué servicio solicita permisos y para qué.
  • Limitar: puedes reducir la superficie de ataque deshabilitando el uso del device code flow. También puedes revisar los accesos recientes y dispositivos autenticados, y cerrar las sesiones que consideres necesarias.
  • Capacitar: dado que el phishing moderno ya no se limita a robar contraseñas, es clave que las empresas brinden los conocimientos a sus colaboradores para que estos no aprueben ciertos accesos sin comprender el alcance.
  • Reportar: ante cualquier comportamiento extraño o solicitud de autenticación inesperada, debes rechazar la acción y notificar de inmediato a IT o Seguridad. En ataques como EvilTokens, cada minuto cuenta.