El FBI advierte sobre la amenaza que representa Kali365 para los usuarios de Microsoft 365. (Imagen Ilustrativa Infobae)El cibercrimen continúa reinventándose con la aparición de plataformas que industrializan los ataques y facilitan su ejecución a escala global. En los últimos meses, una de estas amenazas ha conseguido sortear los mecanismos de protección de Microsoft 365 sin requerir las contraseñas de los usuarios. Según un comunicado reciente del FBI, la nueva plataforma bautizada como Kali365 representa un riesgo inédito tanto para organizaciones como para particulares.La alerta sobre Kali365 surgió en abril de 2026, cuando el FBI advirtió sobre la operación de esta plataforma de tipo “phishing como servicio” (PhaaS). Distribuida a través de canales de Telegram, Kali365 permite que ciberdelincuentes, incluso sin grandes conocimientos técnicos, desplieguen campañas de ataque masivas contra entornos de Microsoft 365. La innovación de esta herramienta reside en el uso de ganchos generados por inteligencia artificial y plantillas automatizadas, lo que reduce las barreras de entrada para criminales menos experimentados.PUBLICIDADSegún la agencia estadounidense, Kali365 explota los protocolos de confianza legítimos diseñados por los desarrolladores de software para simplificar la conectividad entre dispositivos. Este cambio de paradigma implica que ya no es necesario descifrar contraseñas complejas, sino manipular los sistemas de autenticación incorporados por el propio fabricante.Los ataques explotan el protocolo OAuth 2.0 Device Authorization para obtener acceso a cuentas. (Ed Hardie/Microsoft)A diferencia de los métodos tradicionales, Kali365 no persigue la obtención directa de contraseñas. En su lugar, abusa de un procedimiento legítimo de Microsoft conocido como “OAuth 2.0 Device Authorization”. Este protocolo se implementó originalmente para permitir que dispositivos sin teclado, como televisores inteligentes o impresoras, accedieran a cuentas mediante un código corto introducido en una página oficial.PUBLICIDADLos atacantes, utilizando Kali365, inician el proceso de autorización de forma remota y generan un código de vinculación. Luego, engañan a la víctima mediante correos o mensajes falsificados para que introduzca ese código en la web oficial de inicio de sesión de Microsoft.Una vez completado este paso y superada la verificación de doble factor, el sistema de la empresa emite un token de acceso OAuth. La plataforma captura ese token automáticamente y otorga a los ciberdelincuentes acceso completo a la cuenta del usuario, sin requerir nuevas confirmaciones de seguridad.PUBLICIDADArctic Wolf detectó campañas dirigidas a empresas de todo el mundo con esta nueva técnica. (Imagen Ilustrativa Infobae)El comunicado del FBI subraya que este método permite la entrada ilegal en cuentas de Microsoft 365 sin levantar sospechas, ya que la interacción se produce a través de los canales oficiales de autenticación.El alcance de la amenaza ha sido evaluado por los especialistas de la firma de ciberseguridad Arctic Wolf, quienes detectaron campañas masivas dirigidas a empresas de todo el mundo. El análisis reveló que Kali365 opera con una estructura empresarial sofisticada y ofrece dos modalidades de ataque especialmente efectivas:PUBLICIDADPhishing de código de dispositivo: consiste en manipular el flujo OAuth para robar los tokens de identidad del usuario, utilizando la técnica ya descrita.Cookie Link: implementa un ataque tipo “Adversary-in-the-Middle”, en el que un servidor proxy controlado por los atacantes intercepta las cookies de sesión del navegador de la víctima inmediatamente después de una autenticación legítima.Ambos mecanismos permiten el control remoto de cuentas y eludir las barreras de seguridad convencionales, según el informe de Arctic Wolf.El FBI recomienda bloquear los flujos de autenticación por código de dispositivo para reducir riesgos. (Europa Press)La magnitud del riesgo ha llevado al FBI a emitir recomendaciones urgentes para administradores de sistemas y responsables de seguridad en empresas. La agencia aconseja restringir o bloquear completamente los flujos de autenticación por código de dispositivo mediante políticas de Acceso Condicional. Asimismo, insta a auditar el uso actual de estos códigos y a denegar las directivas de transferencia que permiten que una sesión activa cambie entre dispositivos.PUBLICIDADEl entorno de Microsoft 365 se enfrenta a una amenaza que pone de manifiesto la capacidad de adaptación de los cibercriminales y la necesidad de reforzar las estrategias de protección ante plataformas como Kali365. La cooperación entre empresas, especialistas y organismos de seguridad es clave para limitar el impacto de estos nuevos métodos de ataque.