Kali365 es un kit de phishing como servicio que, según el FBI, puede secuestrar tokens OAuth de Microsoft 365 y mantener el acceso a Outlook, Teams y OneDrive incluso cuando MFA está activado. La solución práctica no es “formar más a los usuarios”. Debes restringir el flujo de código de dispositivo, auditar dónde se utiliza y endurecer el Acceso condicional antes de que un aviso falso de Microsoft se convierta en un compromiso real del tenant.
Advertencia sobre Kali365: lo que realmente dijo el FBI
El 21 de mayo de 2026, el Internet Crime Complaint Center del FBI publicó la alerta I-052126-PSA, titulada “Kali365 Phishing-as-a-Service Kit Hijacks Microsoft 365 Access Tokens”. La agencia indicó que Kali365 apareció por primera vez en abril de 2026 y se distribuye principalmente a través de Telegram.
La advertencia importa porque Kali365 no tiene que robar tu contraseña a la vieja usanza. Según el FBI, el kit captura tokens OAuth de acceso y actualización, lo que puede dar a los atacantes acceso persistente a entornos de Microsoft 365 después de que una víctima complete un paso de autorización de Microsoft con apariencia legítima.
Outlook, Teams y OneDrive se mencionan específicamente como servicios afectados. Es un trío doloroso: el correo electrónico para restablecimientos de identidad y facturas, Teams para la confianza interna, y OneDrive para archivos que a menudo contienen contratos, hojas de cálculo, listas de clientes y credenciales guardadas donde no deberían estar.
Si tu idea del phishing sigue siendo “alguien escribe una contraseña en una página falsa”, actualízala. Para un recordatorio útil sobre la diferencia entre la adivinación de contraseñas y los ataques con inicios de sesión reutilizados, consulta esta guía en lenguaje claro sobre ataques de fuerza bruta frente a credential stuffing. Kali365 va por otra vía: apunta a la autorización, no solo a las credenciales.
Cómo funciona la cadena de ataque de Kali365
El FBI describe una ruta de ataque bastante clara: correo electrónico de phishing, página legítima de verificación de Microsoft o introducción de código de dispositivo, autorización del dispositivo del atacante, robo de token OAuth y, después, acceso persistente a Microsoft 365. Que sea clara no significa que sea inocua. Significa que es repetible.
Una víctima puede creer que está aprobando un inicio de sesión normal de Microsoft, especialmente si el señuelo hace referencia a una reunión de Teams, un archivo compartido de OneDrive, un buzón de voz o la verificación de la cuenta. Una vez que se produce la autorización, el atacante puede obtener tokens que podrían permitirle interactuar con los servicios de Microsoft 365 sin necesidad de interceptar la contraseña del usuario ni el aviso MFA de un solo uso.
Aquí está el peligro que muchas advertencias genéricas pasan por alto: un “MFA correcto” en tus registros puede formar parte del ataque, no ser una prueba de que todo va bien. El phishing con código de dispositivo abusa de un flujo de autenticación legítimo, por lo que los equipos de seguridad que solo buscan inicios de sesión fallidos, viajes imposibles o patrones de password spray pueden pasar por alto la señal más interesante.
Kali365 también reduce la barrera de habilidad. El FBI afirma que incluye señuelos de phishing generados por IA, plantillas automatizadas de campañas, paneles de seguimiento de objetivos en tiempo real y capacidades de captura de tokens OAuth. SafeBrowz informó el 28 de mayo de 2026 de que los operadores pagan aproximadamente $199 al mes por páginas de destino alojadas, canalización automatizada de víctimas y una consola, aunque ese precio procede de un informe secundario y no de la alerta del FBI.
Por qué MFA por sí solo no salvará Outlook, Teams y OneDrive
Sigue mereciendo la pena usar MFA. Ningún defensor serio debería decirte lo contrario. Pero Kali365 recuerda que MFA es un control, no un campo de fuerza.
En este caso, el objetivo del atacante es engañar al usuario para que autorice el acceso a través de un flujo legítimo de Microsoft. Si la víctima completa el proceso, el atacante puede recibir tokens OAuth que permitan mantener el acceso. Los tokens de actualización son la parte más peligrosa porque pueden prolongar una sesión más allá del momento inicial del compromiso, dependiendo de las políticas del tenant y de los controles de duración de los tokens.
Piensa en el impacto empresarial en cifras. Si un buzón comprometido contiene 18 meses de correo electrónico y el usuario recibe 60 mensajes al día, eso son alrededor de 32,400 mensajes expuestos en una sola cuenta en 2026. Añade las carpetas sincronizadas de OneDrive y los chats de Teams, y puede que el atacante no necesite moverse lateralmente de inmediato; la primera cuenta ya puede ser lo bastante valiosa.
La actividad de Arctic Wolf citada por BleepingComputer y recogida por TechRepublic el 26 de mayo de 2026 incluía acceso al buzón, reglas maliciosas de bandeja de entrada y nuevos registros de dispositivos en los entornos de las víctimas. Tómatelo como una observación documentada, no como un patrón universal. Aun así, las reglas de bandeja de entrada son una maniobra clásica y silenciosa: reenviar facturas, ocultar avisos de seguridad y mantener a la víctima sin darse cuenta.
El personal remoto está especialmente expuesto porque los avisos de inicio de sesión de Microsoft son rutinarios en el trabajo distribuido. Si tu plantilla vive en navegadores, llamadas de Teams y archivos en la nube, los aspectos básicos de una lista de comprobación de ciberseguridad para trabajadores remotos en 2026 combinan bien con los controles a nivel de inquilino, pero no los sustituyen.
Controles que reducen el riesgo rápidamente
La guía de mitigación del FBI es inusualmente práctica. Señala la restricción o el bloqueo del flujo de código de dispositivo, el uso de la política de Acceso Condicional, la auditoría del uso existente del flujo de código de dispositivo, el bloqueo de las políticas de transferencia de autenticación y la exclusión de las cuentas de acceso de emergencia cuando no sea posible una restricción total.
La documentación de Microsoft Learn indexada en junio de 2026 confirma que Acceso Condicional puede restringir el flujo de código de dispositivo para dispositivos de Teams y puede utilizarse para bloquear el flujo de código de dispositivo con exclusiones limitadas. Esa última frase importa. Algunas organizaciones dependen realmente del flujo de código de dispositivo para dispositivos compartidos, equipos de salas de reuniones, dispositivos de Teams o hardware con entrada limitada.
- Identifique dónde se utiliza realmente el flujo de código de dispositivo en su inquilino antes de desactivarlo globalmente.
- Cree una política de Acceso Condicional que bloquee o restrinja el flujo de código de dispositivo para las cuentas de usuario normales.
- Cree exclusiones limitadas solo para clases de dispositivos o flujos de trabajo validados, no para departamentos enteros.
- Excluya las cuentas de acceso de emergencia cuando la orientación de Microsoft y del FBI haga impracticable un bloqueo total.
- Audite los inicios de sesión, los nuevos registros de dispositivos, las reglas de buzón y las concesiones inusuales de OAuth tras los cambios de política.
Sinceramente, un bloqueo global sin inventario es una buena forma de interrumpir una sala de juntas, un flujo de trabajo de escáner de almacén o una configuración de Teams Rooms cinco minutos antes de una reunión ejecutiva. La decisión más inteligente es hacer un inventario rápido, una denegación predeterminada estricta y luego excepciones documentadas con responsables y fechas de revisión.
Las empresas que pasan de una TI informal a una seguridad formal suelen tener dificultades aquí porque la antigua regla era «no bloquees la productividad». Eso deja de funcionar una vez que los atacantes alquilan herramientas profesionales. Si le resulta familiar, este artículo sobre cómo cambian las prioridades de seguridad a medida que crecen las organizaciones ofrece un contexto útil para pasar de decisiones ad hoc a controles basados en políticas.
¿Qué señales deberían buscar primero los equipos de seguridad?
Empiece por los flujos de autenticación y la actividad relacionada con tokens, y luego amplíe el alcance. Kali365 no es solo un problema de correo electrónico, así que no limite la investigación a la pasarela de correo.
Las señales útiles incluyen eventos de autenticación de código de dispositivo, inicios de sesión satisfactorios inesperados desde dispositivos desconocidos, nuevos registros de dispositivos, actividad inusual de consentimiento de OAuth, reglas sospechosas de la bandeja de entrada y acceso a Teams o OneDrive desde ubicaciones o agentes de usuario que no encajan con el patrón habitual de la persona. Una sola señal puede tener explicación. Un conjunto de ellas, no.
| Área que comprobar | Por qué importa en 2026 | Respuesta práctica |
|---|---|---|
| Inicios de sesión del flujo de código de dispositivo | El FBI afirma que Kali365 abusa de pasos legítimos de verificación y autorización de dispositivos de Microsoft | Restringir o bloquear mediante Acceso Condicional tras auditar el uso real |
| Tokens de acceso y actualización de OAuth | El FBI afirma que la captura de tokens puede permitir un acceso persistente a Microsoft 365 | Revoca las sesiones de los usuarios sospechosos y revisa las concesiones de aplicaciones |
| Reglas del buzón | TechRepublic informó de actividad vinculada a Kali365 que implicaba reglas maliciosas de la bandeja de entrada | Busca reglas de reenvío, eliminación y ocultación creadas después de inicios de sesión sospechosos |
| Nuevos registros de dispositivos | La actividad de las víctimas comunicada incluía nuevos registros de dispositivos | Valida la propiedad de los dispositivos y elimina los dispositivos desconocidos |
| Acceso a Teams y OneDrive | El FBI señala Teams, Outlook y OneDrive como servicios afectados | Revisa el acceso a archivos, los cambios de uso compartido y la actividad inusual en el chat |
Los equipos de seguridad que utilizan un SOC o una plataforma de automatización deberían codificar estos casos como detecciones encadenadas, no como alertas aisladas. Un inicio de sesión mediante flujo de código de dispositivo seguido de una nueva regla de la bandeja de entrada y un acceso masivo a OneDrive merece una prioridad mayor que cualquiera de esos eventos por sí solo. Para los equipos que están replanteándose la automatización de la respuesta, esta visión general de un enfoque de plataforma SOC con IA en 2026 es un contexto relevante.
Un plan de respuesta realista ante una posible intrusión de Kali365
La rapidez importa, pero el pánico crea puntos ciegos. Si sospechas un robo de tokens de Kali365, conserva los registros mientras cortas el acceso del atacante. No te limites a restablecer la contraseña y dar el caso por cerrado.
Revoca las sesiones activas de la cuenta afectada, revisa la exposición de los tokens de actualización, elimina los dispositivos sospechosos, inspecciona los permisos de las aplicaciones OAuth y comprueba las reglas del buzón. Después, revisa la actividad de Teams y OneDrive en busca de acceso a archivos, cambios de uso compartido y mensajes enviados desde la identidad comprometida.
A continuación, amplía la búsqueda a las personas que recibieron cebos similares. Los kits de phishing como servicio están diseñados para campañas, no para bromas puntuales. El FBI afirma que Kali365 incluye plantillas de campaña automatizadas y paneles de seguimiento de objetivos, lo que significa que una víctima confirmada puede ser la parte visible de una operación más amplia contra tu tenant.
Las comunicaciones merecen cuidado. Diles a los usuarios lo que ha ocurrido en términos concretos: “Puede que veas una solicitud de código de dispositivo de Microsoft que no has iniciado; no introduzcas códigos procedentes de enlaces de correo electrónico o mensajes de chat”. Las advertencias vagas enseñan a la gente a ignorarte.
También hay un caso límite para los equipos de respuesta a incidentes: las cuentas de acceso de emergencia. La guía del FBI reconoce que, cuando no es posible una restricción total, las cuentas de emergencia pueden necesitar exclusiones. Esas cuentas deberían ser pocas, estar supervisadas, protegidas físicamente cuando proceda y sometidas a pruebas, porque una cuenta de emergencia que nadie puede usar durante una interrupción del servicio es puro teatro.
Qué pensar de la cobertura más amplia
Varios medios se hicieron eco de la advertencia del FBI a finales de mayo de 2026. TechRadar destacó la captura de tokens OAuth y los correos electrónicos de phishing que dirigen a los usuarios a páginas legítimas de verificación de Microsoft. ITPro hizo hincapié en las restricciones del flujo de código de dispositivo y en la auditoría de dependencias legítimas, e informó el 26 de mayo de 2026 de que Microsoft no había respondido a su solicitud de comentarios sobre los ataques.
TechRepublic identificó Outlook, Teams y OneDrive como servicios accesibles tras el robo de tokens y citó informaciones sobre las observaciones de Arctic Wolf. The Cyber Signal también habló de Kali365 junto con EvilTokens y afirmó que Microsoft había informado de cientos de compromisos diarios de Microsoft 365 en los entornos afectados, pero esa cifra no se encontró en el material principal del FBI o Microsoft proporcionado aquí, por lo que no deberías considerarla confirmada.
Mi opinión: la advertencia verificada del FBI es suficiente para actuar sin exagerar la historia. No necesitas una cifra dramática de compromiso global para justificar el bloqueo de un flujo de autenticación arriesgado. Un solo buzón de finanzas con acceso persistente mediante token puede arruinar un trimestre.
Para una planificación de riesgos más amplia, recuerda que Kali365 no es un exploit de día cero en el sentido clásico. Abusa de flujos de identidad legítimos y de la confianza humana. Si quieres ver el contraste, esta explicación sobre qué es un exploit de día cero en 2026 ayuda a separar los fallos de software del abuso de identidad.
Preguntas frecuentes
¿Qué es Kali365?
Kali365 es una plataforma de phishing como servicio que, según el FBI, apareció en abril de 2026 y tiene como objetivo los tokens OAuth de Microsoft 365. Se distribuye principalmente a través de Telegram, según el FBI.
¿Kali365 omite Microsoft MFA?
El FBI afirma que Kali365 puede eludir la MFA sin interceptar las credenciales del usuario al capturar tokens de acceso y de actualización de OAuth mediante un flujo de autorización legítimo de Microsoft. La MFA sigue ayudando frente a muchos ataques, pero aquí no es suficiente por sí sola.
¿Qué aplicaciones de Microsoft 365 están afectadas por Kali365?
El FBI nombra Outlook, Teams y OneDrive como servicios de Microsoft 365 afectados. Tras el robo de tokens, es posible que los atacantes puedan acceder al correo electrónico, los chats, los archivos y a los datos relacionados de la cuenta.
¿Deberías bloquear completamente el flujo de código de dispositivo?
Para muchas cuentas de usuario normales, bloquear o restringir el flujo de código de dispositivo es una medida sensata. Audita primero el uso legítimo, porque los dispositivos de Teams, el hardware compartido o los dispositivos con entrada limitada pueden necesitar exclusiones limitadas de Acceso condicional.
¿Qué es lo primero que hay que hacer tras sospechar de un robo de token?
Revoca las sesiones, elimina los dispositivos sospechosos, inspecciona las concesiones de OAuth y comprueba las reglas del buzón. Puede que un restablecimiento de contraseña por sí solo no elimine el acceso persistente creado mediante tokens robados.
ES 
EN 
FR