Una nueva ciberestafa está apuntando a Microsoft 365, una de las plataformas de productividad más utilizadas, según un informe del FBI.
El FBI advierte a los usuarios de Microsoft Outlook, OneDrive y Teams sobre una estafa de phishing
El FBI ha emitido una advertencia urgente sobre "Kali365", una emergente plataforma de phishing que está atacando activamente a los usuarios de Microsoft 365. Mediante un engaño con códigos de verificación, los ciberdelincuentes logran saltarse la autenticación de doble factor y toman el control de cuentas de Outlook, OneDrive y Teams sin necesidad de robar contraseñas.
Video Tu Tecnología: ¿Cómo protegerse de los ataques cibernéticos y no ser víctima de robo de información?
Microsoft 365, que es empleado por muchas personas tanto para las necesidades personales de trabajo desde casa (home office) como, en muchos casos, como una plataforma obligatoria para la comunicación y la productividad en el entorno laboral, incluye aplicaciones populares como Microsoft Word, Outlook, OneDrive y más.
De hecho, Microsoft 365 impulsa el trabajo y el correo electrónico de cientos de millones de personas y millones de empresas en todo el mundo, incluyendo a más de un millón de compañías solo en los EE. UU. De acuerdo con la alerta del FBI del 21 de mayo, los hackers se están aprovechando de la popularidad de MS 365 y recientemente han lanzado una plataforma de ataques de phishing conocida como "Kali365", utilizada para obtener acceso ilícito a cuentas de MS 365.
A continuación, se detalla lo que debe saber sobre quiénes son los objetivos, cómo lucen las estafas y más.
Alerta del FBI emitida por estafa en Outlook y OneDrive
La alerta del FBI, emitida el 21 de mayo de 2026, advirtió sobre una estafa en la que los estafadores utilizan los siguientes pasos:
- Señuelo: Un atacante envía un correo electrónico de phishing suplantando la identidad de servicios de confianza de productividad en la nube y de intercambio de documentos. Este correo de phishing contiene un código de dispositivo con instrucciones para visitar una página de verificación legítima de Microsoft e introducir dicho código.
- Autorización: Las personas o entidades que son el objetivo navegan hasta la página real de Microsoft y pegan el código del dispositivo, autorizando sin saberlo al dispositivo del atacante para acceder a su cuenta.
- Robo de tokens: El atacante captura los tokens de acceso y de actualización de OAuth, lo que les concede acceso a las cuentas de Microsoft 365 de las personas o entidades afectadas.
- Persistencia: El atacante ahora puede acceder a los servicios de Microsoft 365, tales como Outlook, Teams y OneDrive, sin necesidad de una contraseña o de completar ningún desafío adicional de autenticación de múltiples factores (MFA).
Para protegerse, el FBI sugiere las siguientes medidas:
- Restringir el flujo de códigos de dispositivo para limitar o bloquear los códigos de autenticación de dispositivos puede ayudar a prevenir o limitar este tipo de ataque.
- Crear una política de acceso condicional para bloquear el flujo de códigos de dispositivo para todos los usuarios, con excepciones limitadas para los procesos comerciales requeridos.
- Auditar el uso existente del flujo de códigos de dispositivo para identificar dependencias legítimas antes de crear una política de acceso condicional.
- Bloquear las políticas de transferencia de autenticación para evitar que los usuarios transfieran la autenticación desde computadoras a dispositivos móviles.
- Si no puede restringir por completo el uso del flujo de códigos de dispositivo, excluya las cuentas de acceso de emergencia para evitar bloqueos de cuenta.
¿Qué es Kali365?
Kali365 es la emergente plataforma de Phishing-as-a-Service (Phishing como servicio) o "PhaaS" sobre la cual se advierte en la notificación del FBI. Kali365, detectada por primera vez en abril de 2026 según información del FBI, se ha distribuido principalmente a través de la plataforma de mensajería segura Telegram y permite a los estafadores obtener tokens de acceso a Microsoft 365 y eludir los protocolos de autenticación de múltiples factores sin interceptar las credenciales del usuario.
Con una suscripción a la plataforma Kali365, los actores de ciberamenazas pueden estafar a individuos, capturando tokens "OAuth" y ganando acceso a los entornos de Microsoft 365 de sus objetivos. El FBI señala que Kali365 " reduce la barrera de entrada" para los estafadores, proporcionando a "atacantes con menos conocimientos técnicos" señuelos de phishing generados por inteligencia artificial, plantillas de campañas automatizadas y más.
¿Quiénes son los objetivos de Kali365?
Según CyberScoop, el kit de phishing Kali365 puede utilizarse contra cualquier usuario de Microsoft 365, ya sea que inicie sesión desde una cuenta personal o en el trabajo. Hasta el momento, los investigadores de seguridad han visto principalmente a atacantes dirigirse contra Microsoft 365, pero el mismo truco funciona con la misma facilidad en usuarios domésticos que se dejan engañar por un correo electrónico convincente.
Qué hacer si ha sido afectado por la estafa de Kali365
Si cree que ha sido afectado por el ataque de phishing de Kali365, no necesita formatear o borrar toda su computadora, pero debe actuar rápido para asegurar su cuenta, advirtió el FBI en su alerta.
Cambie su contraseña de Microsoft 365 desde un dispositivo de confianza y cierre la sesión de todas las sesiones activas en la configuración de su cuenta para expulsar a cualquiera que esté utilizando un acceso robado. Luego compruebe si hay problemas: revise los inicios de sesión recientes en busca de ubicaciones u horarios extraños, elimine dispositivos o sesiones desconocidas y, en Outlook, elimine cualquier regla de la bandeja de entrada que no reconozca.
También debe asegurarse de que la autenticación de múltiples factores esté activada y, si se encuentra en el trabajo, informe al departamento de TI o al equipo de seguridad de la empresa si se trata de una cuenta corporativa.
Si abrió archivos adjuntos o ejecutó un archivo del correo electrónico de phishing, debe realizar un análisis antivirus completo y luego reportar lo sucedido —incluyendo el correo de phishing y cualquier inicio de sesión o dispositivo sospechoso— al Centro de Quejas de Delitos en Internet (IC3) y vigilar sus otras cuentas si reutilizó esa contraseña.
Además, el FBI solicita que cualquier persona afectada por el kit de phishing Kali365 presente una queja ante el IC3 en ic3.gov, incluyendo toda la información disponible, como copias de los correos electrónicos de phishing, inicios de sesión sospechosos (incluyendo la hora, la dirección IP y la ubicación) y cualquier dispositivo no autorizado o sesión activa añadida a la cuenta afectada.
*Este contenido fue traducido al español por N+ Univision.