El FBI acaba de lanzar una alerta que da la vuelta al manual de ciberseguridad de medio planeta. Kali365, una plataforma de phishing como servicio que cuesta 250 dólares al mes, está robando tokens de acceso a Microsoft 365 sin que sirva de nada la autenticación multifactor. Verá usted: si hasta ahora la industria nos había vendido el MFA (Multi-Factor Authentication) como la vacuna contra el phishing, esta nueva cepa demuestra que el virus ha mutado y que basta con que la víctima copie y pegue un código para que el atacante se cuele por la puerta principal sin disparar una sola alarma.
El salto del phishing tradicional: por qué el MFA ya no es suficiente
Conviene que le explique el truco técnico, porque estamos ante una de esas transiciones silenciosas que cambian las reglas del juego. El phishing clásico robaba credenciales (usuario y contraseña) y, en su versión más evolucionada, interceptaba el código temporal del MFA. Kali365 no necesita nada de eso. Aprovecha los flujos de autorización de dispositivo de Microsoft, los mismos que usamos para conectar una impresora o una app legítima a nuestra cuenta de Office 365. La víctima recibe un señuelo impecable —con logos corporativos y urgencia burocrática— que le pide visitar una URL oficial de Microsoft e introducir un código. Ese código vincula una aplicación controlada por el criminal a la cuenta de la víctima. A partir de ahí, el token OAuth resultante proporciona acceso persistente a todo el ecosistema Microsoft sin necesidad de volver a autenticarse. Un pasaporte digital expedido por la mismísima infraestructura de Redmond.
La investigadora Selena Larson, de Proofpoint, lo resume con una claridad casi incómoda: «Es algo más elegante. La gente no está acostumbrada». Y tiene razón. El engaño se apoya en la confianza que cualquier usuario deposita en las páginas oficiales de Microsoft, y eso lo convierte en especialmente resbaladizo para los departamentos de seguridad, que ven conexiones autorizadas en el tenant sin poder distinguirlas de las legítimas. Mientras escribo estas líneas, el FBI ha difundido un comunicado público en el que señala que la plataforma ya se distribuye activamente por Telegram y que automatiza campañas con señuelos generados por inteligencia artificial. La barrera de entrada se ha desmoronado: cualquier delincuente con doscientos cincuenta dólares y cero conocimientos de programación puede lanzar una campaña global en cuestión de horas.
Anatomía de un ataque con Kali365: el código que te piden copiar
Permítame que diseccione el modus operandi porque es donde se juega la partida. El kit genera una página de inicio de sesión falsa, sí, pero el anzuelo real es la pantalla de autorización de dispositivo de Microsoft —auténtica, alojada en dominios de la propia compañía—. La víctima cree que está activando una herramienta corporativa, cuando en realidad está concediendo acceso a un panel de control criminal. Una vez introducido el código, Kali365 almacena el token de acceso y el de actualización en su plataforma, y los pone a disposición del afiliado que lanzó la campaña. Arctic Wolf Labs ha documentado que esos tokens pueden incluso compartirse entre distintos actores, de modo que un atacante que no participó en el señuelo inicial puede heredar el acceso semanas después. Es, literalmente, un mercado secundario de identidades digitales.
Proofpoint observó siete herramientas de phishing por código de dispositivo casi idénticas en apenas diez días el mes pasado. Kali365 no es un hallazgo aislado; es la punta de lanza de un fenómeno que empezó a explotar en febrero de 2026, y que según Larson se ha disparado porque a los ciberdelincuentes «les está resultando muy efectivo». Los costes son ridículos: 250 dólares por treinta días de uso o dos mil por un año completo. Si usted dirige la seguridad de una empresa mediana, sepa que ese es el presupuesto de una comida de equipo.
El FBI insiste en que estos tokens ofrecen acceso persistente, lo que significa que el intruso puede bucear por correos, SharePoint, Teams y OneDrive durante meses sin que nadie le pida una segunda verificación. He visto fugas de información, chantajes, fraudes y despliegues de ransomware que empezaron exactamente así: con una identidad silenciosamente comprometida.
El espionaje industrial del siglo XXI ya no se cuela por la puerta de atrás: se sienta en tu panel de administración con un token válido, y nunca sabrás que estuvo ahí.
Ya advertí en El quinto elemento que el próximo 11 de septiembre no se anunciará con un avión, sino con un clic. Kali365 es justo el tipo de munición que pone ese escenario al alcance de cualquiera. No necesitas un zero-day carísimo ni un equipo de APT estatal; basta con copiar y pegar un código en un móvil confiado. La noticia, además, me devuelve a una conversación que mantuve hace años con mandos del CCN-CERT: la autenticación multifactor iba a ser un parche temporal, no una solución definitiva. Ellos lo sabían y yo también. Pero la industria del marketing de ciberseguridad lo vendió como el santo grial.
Las campañas observadas por Proofpoint y Arctic Wolf revelan otro detalle inquietante: los señuelos son indistinguibles de los que usaría una campaña de phishing industrial sofisticado, pero generados en masa por inteligencia artificial. Los actores maliciosos han encontrado un atajo que combina ingeniería social automatizada con abuso legítimo de infraestructura de Microsoft, y ese cóctel es muy difícil de detectar con las herramientas actuales. Larson lo resume con una frase que yo suscribo: «La identidad puede ser muy, muy poderosa una vez que estás dentro de una organización».
Dossier Moncloa: Ojos en la Sombra
Visto desde la óptica del oficio, estamos ante el inicio de una reconfiguración del panorama de amenazas que obliga a todos los servicios de contrainteligencia a revisar sus manuales. El vector es un ciberataque basado en abuso de OAuth y phishing por código de dispositivo, que considero un cambio cualitativo respecto al simple robo de credenciales. El eslabón más débil sigue siendo el usuario, pero el ataque ya no pasa por engañarle para que entregue un secreto, sino para que autorice una aplicación con poderes casi administrativos. Eso, para una empresa con trescientas cuentas de Microsoft 365, equivale a entregar las llaves de la oficina a un desconocido que se presenta con un uniforme de repartidor oficial.
El servicio atacante es difuso —grupos cibercriminales, sí, pero nada impide que un actor estatal compre un mes de Kali365 y lo use contra objetivos de inteligencia—. El servicio defensor es, en primera instancia, el FBI, pero en España el peso recae sobre el CCN-CERT y el mando conjunto del ciberespacio. Y aquí abro un melón que me inquieta: las administraciones públicas españolas corren un alto porcentaje de sus comunicaciones sobre Microsoft 365, y conozco más de un ayuntamiento y más de una consejería donde la concienciación sobre el MFA sigue siendo baja. Si el MFA ya no es seguro, ¿qué nos queda? A juzgar por la naturaleza del material que se está robando y por la persistencia de los tokens, estimo que la información comprometida alcanza un nivel de clasificación «Uso Restringido» en muchos casos, rozando el «Confidencial» cuando se trata de bases de datos de ciudadanos o comunicaciones de gabinetes.
Los terceros que miran de reojo son todos: el MI5 británico, la DGSI francesa, el BND alemán y, por supuesto, el CNI. No hay que descartar que Rabat, a través de sus propios equipos ciber, pueda estar tanteando este tipo de plataformas para operaciones de inteligencia sobre el flanco sur. El precedente histórico más cercano lo tenemos en el abuso de OAuth durante la campaña de SolarWinds, cuando el grupo APT29 (vinculado al SVR) manipuló tokens de acceso para moverse lateralmente por redes gubernamentales. Aquello era una operación de Estado mayor; esto es una franquicia criminal. Pero el principio técnico es casi idéntico, y el daño potencial, en escala agregada, puede ser colosal.
Lo veo con claridad: el verdadero riesgo no está en Kali365, sino en los cien clones que surgirán en las próximas semanas. La barrera de entrada se ha pulverizado y los servicios de inteligencia saben que un cibercriminal sin afiliación estatal es la coartura perfecta para una operación de bandera falsa. El aviso del FBI es un disparo de salida. A partir de ahora, cualquier responsable de seguridad que siga confiando ciegamente en el MFA está, en la práctica, dejando la puerta entreabierta. Yo, si estuviera en su lugar, pediría una auditoría urgente de autorizaciones OAuth activas en mi tenant de Microsoft antes de que termine la semana. Porque, me consta, los malos ya han empezado a tocar a la puerta.
