Artículo de blog

  • 8 minutos leídos
Perfil del/a autor/a
  • Kiara Saloojee
  • DMARC Enthusiast

Kali365: el kit de phishing que hace que la autenticación multifactorial (MFA) sea irrelevante

Candado digital azul y rojo que se desmorona

Descripción general de Kali365:

  • Kali365 elude la autenticación de dos factores (MFA) robando tokens de OAuth, no contraseñas.
  • phishing mediante códigos de dispositivos phishing ahora al alcance de cualquier atacante sin mucha experiencia.
  • DMARC p=reject bloquea la suplantación directa de dominio antes de que el señuelo llegue a la bandeja de entrada.
  • El MFA por sí solo ya no es suficiente para protegerse contra phishing.
  • Las configuraciones de seguridad estáticas no pueden seguir el ritmo de la evolución de las amenazas.

El FBI ha emitido una advertencia oficial sobre una plataforma phishing(PhaaS) denominada Kali365. Detectada por primera vez en abril de 2026, esta plataforma ataca cuentas de Microsoft 365, elude la autenticación de dos factores (MFA) y está a disposición de los ciberdelincuentes por tan solo 250 dólares al mes.

Esto significa que cualquier atacante sin mucha experiencia puede llevar a cabo una sofisticada phishing contra tu organización.

Cómo funciona Kali365

Kali365 no roba contraseñas. Roba algo mucho más valioso: tokens de acceso OAuth.

El ataque se desarrolla en cuatro pasos:

  1. Señuelo: un empleado recibe un phishing que se hace pasar por un servicio de confianza de productividad en la nube o de intercambio de documentos. El correo contiene un código de dispositivo e instrucciones para visitar una página de verificación legítima de Microsoft.
  2. Autorización: el empleado accede a la página auténtica de Microsoft e introduce el código, permitiendo sin saberlo que el dispositivo del atacante acceda a su cuenta.
  3. Robo de tokens: el atacante captura los tokens de acceso y de actualización de OAuth vinculados a la cuenta de Microsoft 365 del empleado.
  4. Persistencia: con tokens válidos, el atacante accede a Outlook, Teams y OneDrive sin contraseña ni ningún otro requisito de autenticación de dos factores.

Esta técnica se denomina phishing de códigos de dispositivo». Aprovecha el flujo de autorización legítimo OAuth 2.0 de Microsoft, convirtiendo una función de autenticación real en un vector de ataque.

El resultado es que ni la autenticación de dos factores, ni los gestores de contraseñas, ni la supervisión de credenciales logran impedir el acceso. La víctima se autentica con éxito y ese acceso se entrega directamente al atacante.

Por qué Kali365 sube el listón

Kali365 no inventó phishing de códigos de dispositivos. Lo industrializó.

El aviso del FBI señala que Kali365 «reduce las barreras de acceso, permitiendo a los atacantes con menos conocimientos técnicos acceder a phishing generados por IA, plantillas de campañas automatizadas, paneles de control para el seguimiento en tiempo real de personas y entidades específicas, y funciones de captura de tokens OAuth».

phishing mediante códigos de dispositivos phishing extendido rápidamente entre diversos actores maliciosos y plataformas en 2026. EvilTokens y Tycoon2FA utilizan ahora la misma técnica.

El papel de la autenticación del correo electrónico

Los ataques de Kali365 comienzan con un phishing . El correo electrónico se hace pasar por un servicio de confianza. Contiene un código de dispositivo. Parece legítimo.

Si ese correo electrónico se envía utilizando un dominio falsificado, una autenticación sólida del correo electrónico lo detiene antes de que llegue a la bandeja de entrada.

A DMARC de p=reject indica a los servidores receptores que bloqueen los correos electrónicos que no superen las comprobaciones de autenticación. DMARC impide que los atacantes suplanten directamente tu dominio.

Un estudio reciente ha revelado que el 74 % de los dominios del sector sanitario que sufrieron filtraciones contaban con DMARC ineficaz. Sin DMARC , las direcciones de remitente falsificadas se muestran con normalidad en la bandeja de entrada, lo que confiere a phishing una apariencia de legitimidad inmerecida.

DMARC detiene todos phishing . Sin embargo, sí bloquea una de las formas más habituales en que los atacantes logran que phishing lleguen a las bandejas de entrada. Una campaña de Kali365 dirigida a tus empleados pierde una eficacia considerable cuando estos nunca llegan a ver el señuelo.

Lo que debería hacer tu empresa

  • Restringir el flujo de códigos de dispositivo. El FBI recomienda crear políticas de acceso condicional para bloquear la autenticación mediante códigos de dispositivo para todos los usuarios, con excepciones limitadas para los procesos empresariales verificados. Se recomienda auditar el uso actual del flujo de códigos de dispositivo antes de implementar este cambio, a fin de evitar interrumpir las dependencias legítimas.
  • Bloquear la transferencia de autenticación. Impedir que los usuarios transfieran sesiones de autenticación desde ordenadores a dispositivos móviles.
  • Aplica una DMARC con el valor p=reject. Deja atrás el modo de supervisión. DMARC elimina la suplantación de identidad como mecanismo de distribución de phishing dirigidos a tus empleados, socios y clientes.
  • Mantenga una visión global unificada. Sepa qué dominios, servicios de envío de correo electrónico y herramientas SaaS están activos en su organización. Los remitentes no autorizados o no autenticados crean vulnerabilidades que los atacantes pueden aprovechar.
  • Realice un seguimiento continuo. Las plataformas de phishing evolucionan. El panorama de amenazas en junio de 2026 es diferente al de enero. Las configuraciones de seguridad estáticas no pueden seguir el ritmo.

El problema de los tokens de acceso ha llegado para quedarse

Kali365 es un síntoma de un cambio más amplio. Los atacantes han dejado atrás, en gran medida, el robo de credenciales. El secuestro de tokens de sesión es ahora uno de los métodos más habituales para acceder a cuentas de forma persistente y sin ser detectados.

Esto es importante porque la mayoría de las soluciones de seguridad empresarial están diseñadas para detectar y prevenir el robo de credenciales. Los ataques basados en tokens requieren controles diferentes: políticas de acceso condicional, supervisión de la revocación de tokens, detección de inicios de sesión anómalos y límites de autenticación obligatorios.

El phishing que contiene el código del dispositivo sigue siendo el punto de partida. Las empresas que eliminan o reducen la eficacia de ese punto de partida, mediante DMARC , la visibilidad del dominio y el control del correo electrónico autenticado, dificultan la ejecución de todas las fases posteriores del ataque.

Si has estado utilizando la autenticación multifactorial (MFA) como tu principal medida de protección contra phishing, Kali365 es una clara señal de que la MFA por sí sola ya no es suficiente.

Denunciarlo

Si tu empresa ha sido objeto de phishing de Kali365 o similar, presenta una denuncia ante el Centro de Denuncias de Delitos en Internet del FBI. Incluye cualquier phishing (con los encabezados), los eventos de inicio de sesión sospechosos y los detalles de los dispositivos no autorizados o las sesiones activas.

Cómo puede ayudarte Sendmarc

Sendmarc simplifica DMARC para las grandes empresas. La plataforma Sendmarc gestiona DKIM DMARC, SPF y DKIM , ofrece una supervisión continua de todos los dominios y proporciona a los equipos de seguridad una visión global de todas las fuentes de envío de correo electrónico. Si tu organización aún no ha alcanzado p=reject, Sendmarc te ayuda a llegar hasta allí y a mantenerte en ese nivel.

Reserva una demo