Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > M365 Device Code Phishing: la cadena de ataque asistida por IA que compromete a cientos de organizaciones cada día

M365 Device Code Phishing: la cadena de ataque asistida por IA que compromete a cientos de organizaciones cada día

by Uri Kedem updated mayo 20, 2026 Correo Electrónico Seguro
Reading Time: 9 minutes

Puntos clave

  1. Compromisos masivos diarios. Cientos de tenants de M365 son vulnerados cada día mediante una campaña de phishing automatizada y potenciada por IA que abusa de la autenticación por código de dispositivo.
  2. Explotación de flujos legítimos. Los atacantes aprovechan el protocolo de código de dispositivo de Microsoft para robar tokens de sesión válidos sin usar malware, exploits ni credenciales inválidas.
  3. Kill chain acelerada por IA. La IA gestiona la validación de objetivos, la creación de cebos específicos por rol y la exfiltración rápida de buzones, reduciendo ataques de semanas a horas.
  4. Evasión de defensas. Los controles tradicionales no detectan el ataque porque utiliza autenticación legítima, exfiltración por Graph API y no genera firmas de malware.

Imagina a un controller financiero que recibe un mensaje de Teams de quien parece ser un responsable interno de cumplimiento. El mensaje menciona una auditoría específica —que realmente existe— y le pide verificar un documento mediante un enlace de código de dispositivo. El controller accede. En 90 segundos, el atacante obtiene un token de sesión válido, acceso total al buzón del controller y exporta todos los adjuntos de los últimos 18 meses.

El ataque que parece una operación de negocio normal

No es un escenario teórico. Según un aviso de Microsoft publicado en abril de 2026, cientos de organizaciones están siendo comprometidas cada día mediante una campaña de phishing que abusa del flujo de autenticación por código de dispositivo en Microsoft 365. La campaña utiliza IA para generar cebos altamente personalizados y encadena pasos automatizados en toda la kill chain: desde la validación del objetivo hasta la exfiltración de datos.

El Informe Global de Amenazas de CrowdStrike 2026 documentó un aumento del 89% en ataques de adversarios potenciados por IA año tras año, junto con el hallazgo de que el 82% de las detecciones en 2025 no involucraron malware. Este ataque ejemplifica ese cambio: sin malware, sin exploits, sin vulnerabilidades. Solo un flujo de autenticación legítimo, invertido.

5 puntos clave

1. Cientos de tenants de M365 están siendo comprometidos cada día.

Una campaña de phishing a gran escala está abusando del flujo de autenticación por código de dispositivo de Microsoft, usando cebos generados por IA para robar credenciales y exfiltrar datos de buzones a escala industrial. Según un aviso de Microsoft publicado en abril de 2026, no se trata de un ataque dirigido a unas pocas organizaciones: es una operación automatizada y potenciada por IA que opera de forma continua contra tenants de M365 en todos los sectores y geografías.

2. El ataque explota un mecanismo legítimo de autenticación de Microsoft.

El flujo de código de dispositivo fue diseñado para dispositivos con limitaciones de entrada. Los atacantes lo han convertido en una de las técnicas de robo de credenciales más efectivas del panorama actual al explotar una propiedad fundamental del protocolo: nada valida quién inició el flujo. La víctima se autentica en la propia infraestructura de Microsoft con su token MFA —y el atacante recibe el token de sesión.

3. La IA potencia cada etapa de la kill chain.

Desde la validación de objetivos vía GetCredentialType hasta la generación de cebos específicos por rol y la exfiltración automatizada de buzones, la IA reduce procesos que antes tomaban semanas a solo horas. El riesgo de IA aquí no es hipotético: el Informe Global de Amenazas de CrowdStrike 2026 documentó un aumento del 89% en ataques de adversarios potenciados por IA año tras año, y esta campaña lo ejemplifica.

4. Los controles de seguridad tradicionales no pueden ver este ataque.

La campaña utiliza flujos de autenticación legítimos, no genera firmas de malware y exfiltra datos usando el propio Graph API de Microsoft. El informe de CrowdStrike 2026 encontró que el 82% de las detecciones ya no involucraban malware; este ataque encaja perfectamente en ese patrón. Los controles estándar de seguridad de correo y endpoint no fueron diseñados para detectar abusos en la capa de autenticación.

5. La gobernanza de plataformas de colaboración es ahora un riesgo a nivel directivo.

Cuando datos sensibles —retenciones legales, documentos de M&A, registros financieros— residen en una plataforma cuyos mecanismos de autenticación están siendo explotados, la pregunta pasa de parches a arquitectura. La brecha de gobernanza de datos en M365 es una brecha de cumplimiento: HIPAA, GDPR, normativas de la SEC y CMMC exigen controles que la infraestructura nativa de auditoría de M365 no fue diseñada para proporcionar de manera consistente.

¿Qué seguridad de correo electrónico necesitas para proteger el email empresarial?

Lee ahora

Cómo el flujo de código de dispositivo se convierte en un arma

La autenticación por código de dispositivo fue diseñada para dispositivos sin navegador o teclado completo —como smart TVs, dispositivos IoT y herramientas CLI. El flujo funciona mostrando un código en el dispositivo y dirigiendo al usuario a introducirlo en un navegador aparte. Una vez ingresado, el dispositivo recibe un token de acceso.

El problema es que nada en el protocolo valida quién inició el flujo. Un atacante puede generar una solicitud de código de dispositivo, incrustarla en un cebo de phishing y esperar a que la víctima se autentique en su nombre. La víctima ve una página de inicio de sesión legítima de Microsoft. Ingresa sus credenciales y completa el MFA. Luego el atacante —no la víctima— recibe el token de sesión.

No es una vulnerabilidad en el sentido tradicional. Microsoft diseñó el flujo de código de dispositivo para funcionar así. La explotación reside en convertir el modelo de confianza en un arma: la víctima se autentica en la infraestructura de Microsoft, usando sus propias credenciales y su propio token MFA. Todos los controles de seguridad ven un evento de autenticación legítimo.

La IA convierte la ingeniería social en una línea de producción

Lo que distingue a esta campaña es el papel de la IA en cada paso. El ataque comienza llamando al API GetCredentialType de Microsoft para validar direcciones de correo objetivo —confirmando qué cuentas existen, cuáles tienen MFA y qué métodos de autenticación están configurados. Este paso de reconocimiento, que antes requería esfuerzo manual, ahora ocurre a velocidad de máquina.

A partir de ahí, la IA genera cebos específicos por rol. Un CFO recibe un mensaje sobre la revisión de una presentación para el consejo. Un asesor legal recibe una consulta sobre una enmienda contractual. Un project manager ve una solicitud vinculada a un proyecto activo real. El Informe de Amenazas de Datos de Thales 2026 encontró que el error humano sigue siendo la principal causa de filtraciones con un 28%, y la ingeniería social creada por IA está diseñada precisamente para explotar la confianza humana a gran escala.

Una vez que la víctima se autentica, se activa la maquinaria automatizada de exfiltración. Las herramientas del atacante se conectan al buzón comprometido mediante Microsoft Graph API, identifican contenido de alto valor —adjuntos, entradas de calendario, archivos compartidos— y lo exportan en bloque. El informe de CrowdStrike 2026 documentó ataques de phishing adversario-en-el-medio contra Microsoft 365/Entra ID que roban cookies y tokens para eludir MFA y acceder directamente a correo, SharePoint y otros servicios ricos en datos. Esta campaña sigue el mismo guion, pero a escala industrial.

Por qué las defensas existentes no lo detectan

La razón por la que este ataque evade la mayoría de los stacks de seguridad es estructural, no técnica. La campaña no genera payloads de malware que puedan ser detectados por endpoints. El evento de autenticación es legítimo, así que los análisis de identidad ven un inicio de sesión normal. La exfiltración de datos utiliza el propio Graph API de Microsoft, por lo que las herramientas DLP ven actividad autorizada por API.

El Informe de Amenazas de Datos de Thales 2026 halló que solo el 33% de las organizaciones sabe exactamente dónde se almacenan sus datos y solo el 39% puede clasificar toda su información. Si las organizaciones no pueden localizar sus datos sensibles, detectar accesos no autorizados se vuelve casi imposible, y las brechas de clasificación de datos se traducen directamente en puntos ciegos forenses tras un compromiso.

El hallazgo de CrowdStrike de que el 35% de los incidentes en la nube involucraron abuso de cuentas válidas refuerza el punto. Las defensas perimetrales tradicionales nunca se diseñaron para un ataque que se autentica por la puerta principal. Y las políticas de acceso condicional —aunque útiles— suelen permitir el flujo de código de dispositivo por defecto, porque la mayoría de las organizaciones nunca ha auditado qué flujos de autenticación están realmente habilitados en sus tenants.

La plataforma de colaboración como superficie de ataque

Esta campaña revela un problema arquitectónico más profundo: la plataforma de colaboración en la que las organizaciones confían para sus flujos de trabajo más sensibles es también la que los atacantes están apuntando con mayor agresividad.

Los sitios de SharePoint alojan retenciones legales, data rooms de M&A y repositorios de políticas. Exchange Online transporta comunicaciones privilegiadas entre ejecutivos, asesores legales y miembros del consejo. OneDrive almacena modelos financieros, registros de clientes y planes estratégicos. No son solo cargas de trabajo de productividad: son repositorios de datos regulados con obligaciones de cumplimiento bajo HIPAA, GDPR, normativas de la SEC y cada vez más CMMC 2.0.

La actualización de Patch Tuesday de abril de 2026 reforzó esta realidad, corrigiendo un zero-day en SharePoint que ya estaba siendo explotado para alterar contenido en espacios de colaboración de confianza. Combinado con la campaña de phishing por código de dispositivo, el mensaje es claro: los tenants de M365 enfrentan amenazas simultáneas a la confidencialidad e integridad de los datos.

Según el Informe de Seguridad, Cumplimiento y Riesgo de Datos de Kiteworks 2026, el 46% de las organizaciones cita la falta de visibilidad como una de sus principales preocupaciones de seguridad de datos. Cuando el intercambio de datos sensibles ocurre en plataformas donde los registros de auditoría pueden ralentizarse en alta actividad, retrasarse hasta 72 horas y requerir licencias premium para su captura completa, la brecha de gobernanza se convierte en una brecha de cumplimiento.

El problema del rastro de auditoría que la mayoría de las organizaciones desconoce

Cuando una organización descubre que un buzón ha sido comprometido mediante phishing por código de dispositivo, la primera pregunta siempre es: ¿a qué datos se accedió? Responder esa pregunta en M365 requiere correlacionar registros de múltiples fuentes: registros de inicio de sesión de Entra ID, registros de auditoría de Exchange, registros de actividad de Microsoft Graph y potencialmente registros de acceso a SharePoint. Estos registros tienen diferentes periodos de retención, distintos niveles de integridad y requisitos de licencia variados.

Para organizaciones sujetas al requisito de notificación de brechas en 72 horas del GDPR, las obligaciones de reporte de incidentes de HIPAA o las reglas de divulgación de incidentes de la SEC, un rastro de auditoría incompleto no es solo un inconveniente operativo: es una exposición regulatoria. El plan de respuesta a incidentes deja de funcionar en cuanto la base de evidencia forense es incompleta.

Cómo Kiteworks resuelve la brecha de gobernanza en M365

La Red de Contenido Privado de Kiteworks aborda este problema desde la arquitectura, no de forma reactiva. En vez de intentar superponer controles de gobernanza sobre una plataforma de productividad, Kiteworks ofrece un plano de control diseñado específicamente para el intercambio de datos sensibles —correo electrónico, uso compartido de archivos, SFTP, MFT, APIs y formularios web— con seguridad integrada a nivel de plataforma, no añadida como un extra premium.

Cada intercambio de datos sensibles a través de Kiteworks queda registrado en un único rastro de auditoría unificado, con entrega en tiempo real a sistemas SIEM: sin ralentización, sin retrasos de 72 horas, sin necesidad de licencias premium para una captura completa. La plataforma se implementa como un dispositivo virtual reforzado con controles de seguridad integrados —firewall de red, WAF, detección de intrusiones— que no requieren configuración por parte del cliente.

Para organizaciones que usan M365 para productividad interna pero necesitan canales gobernados y auditables para el intercambio externo de datos sensibles —con socios, reguladores, contrapartes legales y clientes—, Kiteworks proporciona la arquitectura de protección de datos de confianza cero que M365 no fue diseñado para ofrecer. Incluso si se compromete un mecanismo de autenticación, el alcance del incidente sobre los datos sensibles permanece contenido.

Qué deben hacer las organizaciones antes de la próxima ola

Primero, audita tu tenant de M365 para identificar el flujo de código de dispositivo de inmediato. La mayoría nunca ha revisado qué flujos de autenticación están habilitados. Deshabilita el flujo de código de dispositivo para todos los usuarios salvo aquellos con una necesidad de negocio documentada y restríngelo mediante políticas de acceso condicional que exijan dispositivos compatibles y ubicaciones gestionadas.

Segundo, implementa políticas de acceso condicional que bloqueen métodos de autenticación heredados e innecesarios. El informe de CrowdStrike 2026 encontró que el tiempo promedio de breakout de eCrime es ahora de 29 minutos; el más rápido registrado fue de 27 segundos. Reducir las vías de autenticación explotables acorta la ventana que los atacantes necesitan para completar la kill chain.

Tercero, implementa monitoreo en tiempo real para detectar concesiones de consentimiento anómalas, patrones de viaje imposibles y grandes operaciones de exportación de buzones. Estas son las señales de comportamiento de un compromiso por phishing de código de dispositivo y requieren analítica que el monitoreo nativo de M365 a menudo no proporciona a la velocidad necesaria.

Cuarto, separa el intercambio de datos sensibles del uso colaborativo general. El informe de Thales halló que las organizaciones usan en promedio 89 aplicaciones SaaS. Cuando los datos sensibles fluyen por la misma plataforma que la colaboración casual, cada compromiso de autenticación puede convertirse en un incidente regulatorio. Una plataforma dedicada y controlada de intercambio de datos reduce ese alcance.

Quinto, establece flujos de trabajo de respuesta a incidentes predefinidos que tengan en cuenta las limitaciones forenses de M365. Conoce qué registros tienes, cuánto tiempo se retienen, cuáles requieren licencias premium y cuál es el retraso máximo antes de que estén disponibles. El reloj de notificación de 72 horas del GDPR no se detiene mientras esperas a que los registros se generen.

La velocidad de los ataques asistidos por IA está aumentando. La pregunta ya no es si tu tenant de M365 enfrentará este tipo de campaña, sino si tu arquitectura garantiza que un flujo de autenticación comprometido no se convierta en una brecha de datos generalizada.

Para saber más sobre cómo cerrar la brecha de gobernanza en M365, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Defender para Office 365 es eficaz contra malware y phishing tradicional, pero no está diseñado para bloquear el abuso del flujo de código de dispositivo, ya que el ataque utiliza un mecanismo legítimo de autenticación de Microsoft, no un payload malicioso. La protección requiere políticas de acceso condicional que restrinjan el flujo de código de dispositivo. Con el 82% de las detecciones en 2025 sin malware según CrowdStrike, los controles en la capa de identidad son esenciales junto a las herramientas de endpoint.

El phishing por código de dispositivo que otorga acceso a buzones donde hay información de salud protegida activa de inmediato la evaluación de notificación de brecha bajo HIPAA. Como el atacante se autentica legítimamente, los registros de acceso pueden no señalar la intrusión, por lo que determinar el alcance depende de una infraestructura de rastro de auditoría completa que M365 por sí solo puede no proporcionar sin licencias premium y correlación manual de registros.

El flujo de código de dispositivo está habilitado por defecto en la mayoría de los tenants de M365. Revisa las políticas de métodos de autenticación en el portal de Entra ID bajo Acceso Condicional y crea políticas que bloqueen el flujo de código de dispositivo para todos los usuarios salvo quienes tengan una necesidad de negocio documentada. También revisa posibles brechas de MFA: el Pronóstico 2026 de Kiteworks encontró que el 46% de las organizaciones cita la falta de visibilidad como preocupación principal, y la auditoría de flujos de autenticación es uno de los puntos ciegos más ignorados.

Las organizaciones que comparten datos sensibles externamente deben usar una plataforma dedicada y segura de intercambio de datos que opere de forma independiente de la infraestructura de autenticación de M365. La Red de Contenido Privado de Kiteworks ofrece un plano de control diseñado específicamente, con registro de auditoría unificado, arquitectura de dispositivo virtual reforzado y aplicación de políticas que no dependen de credenciales de M365, garantizando intercambio gobernado y auditable incluso si se compromete la autenticación de M365.

CMMC Nivel 2 exige controles NIST SP 800-171 sobre control de acceso (AC.L2-3.1.1), registro de auditoría (AU.L2-3.3.1) e identificación y autenticación (IA.L2-3.5.1). El phishing por código de dispositivo elude el MFA mediante un flujo legítimo, lo que puede violar simultáneamente los controles AC e IA. Si se accede a CUI, el incidente activa tanto un evento de seguridad como una brecha de cumplimiento CMMC que debe documentarse y corregirse antes de la certificación.

Recursos adicionales

  • Artículo del Blog Protege tu contenido sensible con seguridad de correo electrónico
  • Artículo del Blog Breve: cómo optimizar la gobernanza del correo, el cumplimiento y la protección de contenidos
  • Breve Amplía la visibilidad y automatiza la protección de todo el correo sensible
  • Breve Potencia Kiteworks Secure Email con la Puerta de Enlace de Protección de Correo Electrónico (EPG)

Preguntas frecuentes

El flujo de código de dispositivo fue diseñado para dispositivos con limitaciones de entrada como smart TVs y herramientas IoT. Los atacantes generan un código de dispositivo, lo incrustan en un cebo de phishing y esperan a que la víctima se autentique en su nombre. La víctima completa el inicio de sesión y MFA legítimos de Microsoft, pero el atacante recibe el token de sesión, obteniendo acceso a buzones y datos sin activar alertas de seguridad tradicionales.

La IA valida objetivos mediante el API GetCredentialType de Microsoft, genera cebos específicos por rol que hacen referencia a auditorías o proyectos reales y automatiza la exfiltración de buzones a través de Graph API. Esto comprime el reconocimiento, la ingeniería social y el robo de datos de semanas a horas, permitiendo cientos de compromisos diarios en tenants de M365.

El ataque utiliza flujos de autenticación legítimos sin payload de malware, no genera firmas y exfiltra datos mediante el propio Graph API de Microsoft. Por ello, los análisis de identidad ven inicios de sesión normales, las herramientas DLP ven actividad autorizada y las defensas estándar no detectan el abuso en la capa de autenticación.

Audita los tenants para deshabilitar el flujo de código de dispositivo salvo para necesidades de negocio documentadas, aplica políticas de acceso condicional que bloqueen métodos heredados, monitorea concesiones de consentimiento anómalas y grandes exportaciones de buzones, y separa el intercambio externo de datos sensibles en una plataforma gobernada dedicada para limitar el alcance en caso de compromisos de autenticación.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks