El FBI emitió una alerta pública sobre Kali365, una plataforma de Phishing como Servicio (PhaaS) que permite a ciberdelincuentes acceder a cuentas de Microsoft 365 sin necesidad de interceptar contraseñas ni superar la autenticación multifactor (MFA). La advertencia llega semanas después de que la plataforma fuera detectada por primera vez y refleja el avance de los kits PhaaS entre atacantes con escasos conocimientos técnicos.
Según un comunicado oficial del organismo, Kali365 se distribuye principalmente a través de Telegram mediante suscripción de pago. Una vez contratado el servicio, el atacante accede a herramientas de inteligencia artificial para generar señuelos de phishing, plantillas de campaña automatizadas, paneles de seguimiento en tiempo real y capacidades de captura de tokens OAuth. Estos tokens permiten un acceso persistente a entornos de Microsoft 365, incluyendo Outlook, Teams y OneDrive, sin requerir contraseña ni desafíos MFA adicionales.
El mecanismo de ataque comienza con un correo electrónico que simula ser una notificación de un servicio de productividad en la nube o de compartición de documentos. El mensaje incluye un código de dispositivo con instrucciones para ingresar a una página de verificación legítima de Microsoft. Cuando la víctima ingresa el código, en realidad está autorizando el acceso a los dispositivos controlados por el atacante, quien captura los tokens de acceso y actualización de OAuth para tomar el control de la cuenta.
No es la primera vez que plataformas PhaaS apuntan a Microsoft. A inicios de este año, la compañía colaboró con agencias de seguridad para desmantelar Tycoon 2FA, y el año pasado trabajó con Cloudflare para neutralizar otro sistema similar. Microsoft no respondió las solicitudes de comentario sobre Kali365.
Para mitigar el riesgo, el FBI recomienda no hacer clic en enlaces de correos no solicitados, implementar políticas de acceso condicional que bloqueen el flujo de códigos de dispositivo, restringir la transferencia de autenticación entre equipos y dispositivos móviles, y excluir cuentas de acceso de emergencia de estas reglas. Las organizaciones y usuarios afectados deben reportar incidentes al Centro de Denuncias de Crímenes en Internet (IC3).
