Phishing mediante código de dispositivo, la evolución del secuestro de identidad

A medida que las organizaciones mejoran en la defensa frente a técnicas de phishing comunes, los ciberdelincuentes amplían sus capacidades a técnicas, desde técnicas de phishing de credenciales hasta el phishing mediante código de dispositivo y OAuth. Combinadas con herramientas generadas por LLMs y la ingeniería social, estas técnicas pueden atacar a más personas con nuevos trucos a mayor escala, como explican los investigadores de la empresa de ciberseguridad y cumplimiento normativo Proofpoint.

El phishing mediante código de dispositivos se utilizaba antes por parte de equipos de red teaming y de ciberespionaje para autorizar una aplicación maliciosa en sus cuentas de correo electrónico corporativo. No obstante, ha sido desde finales de 2025, junto con otras innovaciones en las cadenas de ataque, cuando se ha popularizado esta técnica. La mayoría de estas campañas se centra en cuentas de Microsoft, pero desde Proofpoint se han observado también campañas temáticas de Google en volúmenes significativamente menores.

Antes, los atacantes generaban un código y lo enviaban a los destinatarios, quienes debían ingresar ese código lo antes posible porque caducaba en 15 minutos. Si un objetivo no veía el correo electrónico o decidía esperar para interactuar, el código caducaba y el atacante se quedaba sin suerte. Las iteraciones actuales abordan las limitaciones de esta ventana de caducidad: el código se genera dinámicamente cuando un usuario hace clic en el enlace de phishing inicial. Un cambio aparentemente pequeño, pero que permite al usuario ver el mensaje en cualquier momento para iniciar la cadena de ataque. El aumento en el phishing de código de dispositivo coincide asimismo con esta generación de código bajo demanda, así como la aparición de kits de herramientas y múltiples ofertas de phishing-as-a-service.

Los ataques exitosos de phishing por código de dispositivo pueden conducir al secuestro total de la cuenta, al robo de información sensible, al fraude, al compromiso de correo electrónico empresarial, al movimiento lateral dentro de un entorno comprometido e incluso a ataques disruptivos como el ransomware.

En las campañas analizadas por Proofpoint, los correos electrónicos pueden incluir URLs, archivos adjuntos con URLs o códigos QR que conducen a las páginas de destino de phishing de código de dispositivo. Si el objetivo ingresa el código proporcionado en el portal legítimo de autenticación de código de dispositivo de Microsoft, el atacante captura tokens de autenticación, que luego puede usar para acceder a la cuenta del objetivo, incluyendo datos y otros servicios a los que tiene acceso la cuenta comprometida.

La técnica de ingeniería social de copiar y pegar suele emplearse en el phishing de código de dispositivo. Un ciberdelincuente debe convencer a un usuario para que realice una acción arriesgada (copiar la información proporcionada) y la pegue donde no debería (como en una ventana de terminal o en el flujo de autenticación de Microsoft 365). Esta técnica comenzó siendo relativamente pequeña, con atacantes que parecían experimentar, antes de convertirse en amenazas prominentes que ahora se pueden comprar como servicios en foros delictivos. Los métodos nuevos y efectivos que se han generado después siguen patrones similares: un pequeño número de criminales innova y, cuando sale todo bien, los demás les siguen.

La rápida adopción y el uso sostenido del phishing por código de dispositivo con éxito sugieren que la cadena de ataque aún puede ser desconocida para los usuarios que piensan que simplemente están siguiendo las indicaciones de autenticación adecuadas, y las páginas de destino generadas por LLMs hacen que todo resulte creíble.

“El aumento del phishing mediante código de dispositivo es la progresión natural del phishing de credenciales, ya que a medida que más personas se conciencian sobre las técnicas para eludir los controles de seguridad, los ciberdelincuentes deben volverse mucho más creativos y probar nuevos trucos en sus amenazas”, dicen los investigadores de Proofpoint.

No obstante, el hecho de que alguien tenga más herramientas para delinquir no significa siempre que tenga éxito en ello. La defensa contra el phishing por código de dispositivo sigue siendo la misma, independientemente de qué kit o método de entrega se haya utilizado.

Entre las recomendaciones de expertos, desde Proofpoint destacan el bloqueo del flujo de código de dispositivo para todos los usuarios como la mitigación más sólida. Si esta medida no es factible, podría crearse un acceso condicional con una lista de casos de uso aceptados solo para usuarios, sistemas operativos o rangos de IP aprobados. Otra implementación posible sería requerir que los inicios de sesión se originen en un dispositivo conforme o registrado, como estrategia de defensa en profundidad, y mejorar la concienciación de los usuarios más allá del phishing tradicional sobre la simple verificación de las URL para su legitimidad. El enfoque necesario, por tanto, tendría que orientar a los usuarios para que no ingresaran códigos de dispositivo recibidos de fuentes no confiables.