cuidado: tu cuenta de microsoft 365 bajo amenaza de phishing

El FBI ha lanzado una alerta porque una nueva forma de phishing llamada Kali365 está poniendo en riesgo las cuentas de Microsoft 365.

Kali365 es un servicio tipo PaaS que cualquiera puede contratar para crear campañas de phishing sin ser un experto. Apareció en abril de 2026 y se reparte mayormente por Telegram.

A diferencia de otros ataques, no roba contraseñas ni códigos de verificación. Su objetivo son los tokens OAuth, que son los que usa Microsoft para confirmar que ya has iniciado sesión.

Los criminales inician el proceso de autorización, engañan a la víctima para que introduzca el código en una página falsa y, al validar la doble autenticación, obtienen un token que les da acceso total a la cuenta.

Además, están usando inteligencia artificial para crear mensajes más convincentes y apuntar principalmente a entornos de Microsoft 365, aunque podrían intentar otras plataformas.

cómo funciona el phishing de kali365

Kali365 permite a cualquier persona pagar una suscripción y recibir herramientas listas para lanzar ataques contra Microsoft 365. El servicio se difunde por Telegram y se basa en engañar al usuario para que entregue un código de autorización.

Una vez que la víctima introduce el código en la página falsa, Microsoft genera un token OAuth que el atacante captura y usa para entrar en la cuenta.

por qué los tokens oauth son el objetivo

Los tokens OAuth sustituyen a la contraseña en muchos procesos y permiten a los dispositivos, como televisores o IoT, autenticarse sin volver a pedir credenciales. Si un atacante consigue ese token, tiene acceso total como si fuera el usuario.

qué puedes hacer ahora para proteger tu cuenta

Activa alertas de seguridad, revisa los dispositivos vinculados y revoca tokens desconocidos desde la configuración de Microsoft 365. Desconfía de cualquier solicitud de código que llegue por correo o mensaje inesperado.

Si recibes un enlace sospechoso, ciérralo y notifícalo a tu administrador o al soporte de Microsoft.