¿Te llegó un correo anunciando un aumento de sueldo? Enhorabuena: probablemente te estén hackeando
Hackers crean un phishing que hace que la víctima se hackee a sí misma.
Estafadores y grupos de hackers vinculados a estados han empezado a emplear masivamente un nuevo esquema de secuestro de cuentas de Microsoft 365. En lugar de robar contraseñas, los atacantes persuaden a la víctima para que entregue el acceso a su cuenta a través del mecanismo oficial de autorización de Microsoft. Para el ataque utilizan enlaces, códigos QR y notificaciones falsas sobre documentos, bonificaciones o comprobaciones de seguridad.
Especialistas de Proofpoint informaron que desde septiembre de 2025 el número de campañas de este tipo se ha incrementado bruscamente. Antes, los ataques que utilizaban los llamados códigos de dispositivo eran raros y se empleaban principalmente en operaciones puntuales. Ahora el esquema lo usan varios grupos, incluida la agrupación TA2723, motivada por ganancias y presuntos ciberspías vinculados a China.
El ataque gira en torno al flujo OAuth de código de dispositivo, que Microsoft creó para iniciar sesión en cuentas desde dispositivos con capacidades de entrada limitadas, por ejemplo televisores o consolas. El usuario recibe un código especial y lo introduce en la página oficial de Microsoft para confirmar el inicio de sesión. Tras la confirmación, el servicio emite un token de acceso.
Los atacantes han aprendido a explotar este procedimiento a su favor. La víctima recibe un correo con un enlace, un botón o un código QR. El mensaje puede hacerse pasar por una notificación sobre un documento nuevo, una bonificación, beneficios corporativos o una solicitud de reautorización. Tras seguir el enlace, el usuario llega a un sitio falso donde se le proporciona un código y la instrucción de introducirlo en el portal auténtico de Microsoft. Como resultado, el atacante obtiene acceso a la cuenta.
Una de las campañas más destacadas fue un envío con el asunto «Salary Bonus + Employer Benefits Reports 25». A los usuarios se les prometía un documento con información sobre bonificaciones y beneficios. El enlace del correo conducía a un sitio de los atacantes, diseñado para parecer el portal corporativo de la empresa de la víctima. Tras introducir la dirección de correo electrónico, al visitante se le mostraba una ventana con un «código de autenticación multifactor» y se le redirigía a la página microsoft.com/devicelogin. Introducir el código transfería de hecho el control de la cuenta de Microsoft 365 a los estafadores.
El grupo TA2723 utilizó un esquema parecido en octubre de 2025. A las víctimas se les enviaron correos sobre una supuesta nómina actualizada. Al pulsar el botón para abrir el documento, el usuario era llevado a una página que generaba un código de un solo uso y luego se le redirigía al servicio oficial de Microsoft para confirmar el acceso.
Para estos ataques los atacantes usan activamente herramientas ya preparadas. Entre ellas los especialistas destacaron los kits SquarePhish2 y Graphish. El primero ayuda a automatizar campañas de phishing con códigos QR y códigos de autorización de dispositivos Microsoft. El segundo permite crear páginas de inicio de sesión falsas y capturar sesiones de usuarios mediante un servidor proxy inverso.
A Proofpoint le preocupa especialmente el aumento de la actividad de grupos vinculados a estados. Desde enero de 2025 los especialistas han registrado numerosas campañas de ciberespionaje que utilizan el esquema de phishing con códigos de dispositivo.
Una de esas agrupaciones que Proofpoint rastrea se denomina UNK_AcademicFlare. Desde septiembre de 2025 los atacantes emplearon cuentas de correo comprometidas de organizaciones gubernamentales y militares para contactar con universidades, centros de análisis y empresas de transporte en Estados Unidos y Europa. Al principio a la víctima se le enviaba un correo inocuo y se mantenía correspondencia sobre temas profesionales; más tarde se le invitaba a consultar un documento mediante un enlace. El enlace conducía a un servicio falso de OneDrive alojado a través de Cloudflare Workers, donde se pedía al usuario que copiara el código y confirmara el inicio de sesión mediante el portal oficial de Microsoft.
Tras un ataque exitoso, los atacantes obtienen acceso completo al correo y a los datos de Microsoft 365. A partir de ahí son posibles: el robo de documentos, la consolidación en la infraestructura de la empresa, el movimiento lateral por la red interna y nuevos ataques en nombre del usuario comprometido.
En Proofpoint consideran que la popularidad de estos esquemas seguirá creciendo, sobre todo ante la transición de las empresas hacia la autenticación sin contraseña y los métodos de acceso basados en FIDO. La empresa recomienda, cuando sea posible, desactivar por completo la autorización mediante el flujo de código de dispositivo, limitar la lista de dispositivos permitidos y formar adicionalmente a los empleados para que no introduzcan códigos de autorización recibidos en correos o mensajes de remitentes desconocidos.