SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

18 mar 2026

Segu-Info » , » Campañas avanzadas de phishing y vishing con device_code

Campañas avanzadas de phishing y vishing con device_code

18 mar 2026, 2:30:00 p.m.   Comenta primero!
  ,  

Los atacantes están perfeccionando sus técnicas de phishing con Device Code y Vishing para comprometer cuentas de Microsoft Entra y Microsoft 365 (M365). Estas campañas abusan del flujo de autorización de dispositivo de OAuth 2.0, diseñado para dispositivos sin teclado, pero convertido en una vía de acceso ilícito a datos corporativos.

Herramientas utilizadas: SquarePhish2 y Graphish

  • SquarePhish2: framework que automatiza ataques de phishing con código de dispositivo, generando device_code y user_code y facilitando la interacción con víctimas mediante ingeniería social.
  • Graphish: herramienta que ayuda al atacante a crear páginas de phishing convincentes usando registraciones Azure App para manipular tokens OAuth y mantener acceso persistente a cuentas comprometidas.

Ambas herramientas permiten a los atacantes industrializar campañas, reduciendo la necesidad de infraestructura propia y aumentando la efectividad del engaño.

Flujo del ataque

  1. El atacante genera un device_code y un user_code con SquarePhish2 o Graphish.
  2. Contacta a la víctima (correo o llamada) y la convence de ingresar el código en microsoft.com/devicelogin.
  3. La víctima introduce sus credenciales y completa MFA. Todo parece legítimo.
  4. Mientras tanto, el atacante consulta el endpoint de tokens de Microsoft con su device_code.
  5. Microsoft emite directamente los tokens OAuth al atacante.

Resultado: acceso completo a Microsoft 365. No se roban credenciales. MFA es salteado.

Por qué los equipos SOC no lo detectan fácilmente

  • La víctima se autentica en dominios legítimos de Microsoft.
  • Todo el tráfico está cifrado en HTTPS.
  • No hay páginas falsas que disparen alertas de reputación de URL.
  • MFA se completa con éxito, reforzando la apariencia de legitimidad.

La detección requiere visibilidad en los eventos de emisión de tokens OAuth y monitoreo de comportamiento, no solo coincidencia de indicadores de compromiso (IOC).

Riesgos principales

  • Acceso persistente: los atacantes mantienen acceso prolongado con refresh tokens.
  • Extorsión y robo de datos: acceso a aplicaciones SaaS conectadas (Salesforce, Slack, Dropbox, SAP, etc.).
  • Difícil detección: el ataque se camufla en procesos legítimos de Microsoft.

Medidas de defensa recomendadas

  • Auditar y revocar consentimientos sospechosos de aplicaciones OAuth.
  • Revisar registros de inicio de sesión de Azure AD para eventos de autenticación con device code.
  • Desactivar el flujo de device code si no es necesario.
  • Implementar políticas de acceso condicional y monitoreo de comportamiento anómalo.
  • Educar a los usuarios sobre intentos de ingeniería social vía llamadas y correos.

El uso de herramientas como SquarePhish2 y Graphish demuestra que los atacantes están profesionalizando el abuso del flujo de autorización de dispositivo. La combinación de ingeniería social y explotación técnica convierte estas campañas en una amenaza seria y difícil de detectar. La defensa pasa por reforzar la visibilidad en la emisión de tokens OAuth y aplicar controles de comportamiento más allá de los IOC tradicionales.

Fuentes: BC | GBHackers



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!