Andrea MartínezEl FBI emitió el 21 de mayo de 2026 una alerta oficial (PSA260521) sobre Kali365, una plataforma de phishing-como-servicio que permite a ciberatacantes acceder a cuentas de Microsoft 365 sin necesidad de conocer las contraseñas, incluso cuando las cuentas tienen la autenticación multifactor (MFA) activada. La amenaza afecta a Outlook, Teams y OneDrive, herramientas usadas por millones de empresas en todo el mundo.
El aviso, emitido por el Internet Crime Complaint Center (IC3) del FBI, detalla cómo Kali365 se distribuye a través de Telegram y pone la ciberdelincuencia al alcance de atacantes sin conocimientos técnicos avanzados.
Qué es Kali365 y por qué es diferente al phishing tradicional
Kali365 es una plataforma de phishing-como-servicio (PhaaS) detectada por primera vez en abril de 2026. Su peligrosidad reside en el método de ataque que utiliza: en lugar de robar contraseñas directamente, abusa del flujo de autenticación por código de dispositivo de Microsoft (OAuth device code authentication) para capturar tokens de sesión válidos.
Esto significa que incluso si un empleado tiene una contraseña segura y ha activado la autenticación en dos pasos, puede ser víctima de Kali365 sin que sus credenciales hayan sido comprometidas en ningún momento.
Cómo funciona el ataque paso a paso
El proceso de ataque de Kali365 sigue una secuencia precisa y difícil de detectar para el usuario final:
- La víctima recibe un correo electrónico de phishing que parece legítimo, invitándola a visitar una página oficial de Microsoft e introducir un código de verificación.
- La página a la que accede es real: pertenece al sistema de autenticación de Microsoft.
- Al introducir el código, el usuario autoriza sin saberlo el dispositivo del atacante para acceder a su cuenta de Microsoft 365.
- El atacante obtiene un token de acceso válido que le permite entrar en el correo, los documentos y los chats del usuario sin activar las alertas habituales de seguridad.
El token capturado funciona como una llave digital permanente. El atacante puede leer correos, enviar mensajes suplantando la identidad de la víctima, acceder a archivos confidenciales en SharePoint o Teams y moverse lateralmente dentro de la red corporativa.
Por qué las pequeñas y medianas empresas son el objetivo principal
Kali365 reduce significativamente la barrera técnica para cometer ciberataques. La plataforma incluye señuelos de phishing generados por inteligencia artificial adaptados a cada objetivo, plantillas de campaña automatizadas, paneles en tiempo real para rastrear a las víctimas y herramientas de captura de tokens OAuth integradas.
Esta combinación convierte a Kali365 en una herramienta accesible incluso para atacantes sin formación técnica profunda. Cualquier empresa que utilice Microsoft 365 es un objetivo potencial, pero las pequeñas y medianas empresas son especialmente vulnerables porque con frecuencia carecen de un equipo de seguridad informática dedicado y no han configurado políticas avanzadas de acceso condicional en sus entornos de Microsoft.
Una brecha en una cuenta de Microsoft 365 puede comprometer toda la comunicación interna de una empresa, exponer datos de clientes y dar lugar a fraudes de ingeniería social contra proveedores o socios comerciales.
Las medidas que recomienda el FBI de forma inmediata
Según el aviso oficial del FBI/IC3 (PSA260521), las empresas deben tomar las siguientes acciones sin demora:
Restringir o bloquear el flujo de autenticación por código de dispositivo: Microsoft Azure Active Directory (Entra ID) permite desactivar este flujo mediante políticas de acceso condicional. Las empresas que no utilizan activamente esta función deben desactivarla de inmediato.
Auditar el uso actual de device code authentication: antes de bloquear el flujo, es necesario identificar si hay aplicaciones legítimas que lo utilicen para evitar interrumpir servicios críticos del negocio.
Bloquear las políticas de transferencia de autenticación: impedir que las sesiones de autenticación se transfieran entre dispositivos reduce significativamente el riesgo de captura de tokens.
Activar alertas de inicio de sesión inusual: configurar alertas en Microsoft Entra ID para detectar inicios de sesión desde ubicaciones o dispositivos desconocidos permite detectar intrusiones en tiempo real.
La MFA ya no es suficiente por sí sola: lo que esto significa para tu empresa
Una de las conclusiones más importantes del aviso del FBI es que la autenticación multifactor, considerada durante años como una medida de seguridad robusta, no protege contra ataques de tipo OAuth token hijacking como los que facilita Kali365.
Esto no significa que la MFA sea inútil —sigue siendo una capa de seguridad esencial que bloquea la mayoría de los ataques comunes—, pero indica que las empresas necesitan una estrategia de seguridad más amplia. Esa estrategia debe incluir gestión de accesos condicionales, monitoreo de comportamiento de usuarios, auditorías periódicas de permisos y formación del personal en detección de intentos de phishing.
Para las empresas que usan Microsoft 365 como herramienta central de productividad, la pregunta ya no es si son un objetivo posible, sino si están preparadas para detectar y responder a este tipo de ataque antes de que cause daño real.
Por qué necesitas un especialista en TI para proteger tu empresa ahora
Implementar correctamente las recomendaciones del FBI en un entorno de Microsoft 365 no es una tarea sencilla. Requiere conocimiento de Azure Active Directory (Entra ID), experiencia con políticas de acceso condicional y comprensión de los flujos de autenticación OAuth 2.0. No es algo que se deba dejar en manos de personal de TI generalista sin experiencia específica en ciberseguridad.
Si tu empresa usa Microsoft 365 y no sabes si tienes el flujo de device code authentication bloqueado, si tus políticas de acceso condicional están bien configuradas o si tus empleados saben reconocer un correo de phishing sofisticado, es el momento de actuar. Puedes leer más sobre cómo los ataques de phishing afectan a empresas en este artículo sobre protección contra phishing empresarial.
Conecta con un especialista en Tecnología de la Información en Expert Zoom que pueda auditar tu entorno de Microsoft 365 y ayudarte a implementar las medidas recomendadas por el FBI antes de que sea demasiado tarde.
Aviso de seguridad: Este artículo tiene carácter informativo y no sustituye a una auditoría de seguridad profesional. Los ciberataques evolucionan constantemente; consulta a un experto en ciberseguridad para evaluar la configuración específica de tu organización.
