Los investigadores de ciberseguridad llaman la atención sobre una campaña activa de suplantación de identidad de códigos de dispositivos dirigida a las identidades de Microsoft 365 en más de 340 organizaciones de EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.

La actividad, según Huntress, fue visto por primera vez el 19 de febrero de 2026, y los casos posteriores aparecieron a un ritmo acelerado desde entonces. En particular, la campaña aprovecha los redireccionamientos de Cloudflare Workers para redirigir las sesiones capturadas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, lo que la convierte de manera efectiva en un motor de recolección de credenciales.

La construcción, las organizaciones sin fines de lucro, el sector inmobiliario, la fabricación, los servicios financieros, la atención médica, el legal y el gobierno son algunos de los sectores destacados a los que se dirige la campaña.

«Lo que también hace que esta campaña sea inusual no son solo las técnicas de suplantación de identidad con códigos de dispositivos utilizadas, sino también la variedad de técnicas observadas», afirma la empresa. «Los cebos para licitaciones de construcción, la generación de códigos para páginas de destino, la suplantación de identidad de DocuSign, las notificaciones por correo de voz y el uso indebido de las páginas de Microsoft Forms están afectando al mismo grupo de víctimas a través de la misma infraestructura de IP de Railway.com».

Suplantación de identidad con código de se refiere a una técnica que aprovecha la Flujo de autorización de dispositivos OAuth para conceder al atacante tokens de acceso persistente, que luego pueden usarse para tomar el control de las cuentas de las víctimas. Lo importante de este método de ataque es que los tokens siguen siendo válidos incluso después de restablecer la contraseña de la cuenta.

adsense

A un alto nivel, el ataque funciona de la siguiente manera -

  • El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API de código de dispositivo legítima.
  • El servicio responde con un código de dispositivo.
  • El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión («microsoft [.] com/devicelogin») e introducir el código del dispositivo.
  • Una vez que la víctima introduce el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.

«Una vez que el usuario es víctima de la suplantación de identidad, su autenticación genera un conjunto de tokens que ahora se encuentran en el punto final de la API de tokens de OAuth y se pueden recuperar proporcionando el código de dispositivo correcto», explica Huntress. «El atacante, por supuesto, conoce el código del dispositivo porque lo generó la solicitud inicial de cURL a la API de inicio de sesión del código del dispositivo».

«Y aunque ese código es inútil por sí solo, una vez que se engaña a la víctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qué código de dispositivo se utilizó en la solicitud original».

Microsoft y Volexity observaron por primera vez el uso de la suplantación de identidad mediante código de dispositivo en febrero de 2025, y Amazon Threat Intelligence y Proofpoint documentaron las oleadas posteriores. Se ha atribuido a estos ataques varios grupos alineados con Rusia, rastreados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.

La técnica es insidiosa, sobre todo porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación del código del dispositivo, por lo que los usuarios no tienen motivos para sospechar que algo podría estar mal.

En la campaña detectada por Huntress, el abuso de autenticación se origina en un pequeño grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados -

  • 162.220,234 [.] 41
  • 162.220,234 [.] 66
  • 162,220,232 [.] 57
  • 162,220,232 [.] 99
  • 162.220,232 [.] 235

El punto de partida del ataque es un correo electrónico de suplantación de identidad que envuelve las URL maliciosas dentro de las legítimas servicios de redireccionamiento de proveedores de seguridad de Cisco, Trend Micro y Mimecast para eludir los filtros de spam y activar una cadena de redireccionamiento de varios saltos con una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.

«Los sitios de aterrizaje observados incitan a la víctima a dirigirse al punto final legítimo de autenticación del código del dispositivo de Microsoft e introducir el código proporcionado para leer algunos archivos», dijo Huntress. «El código aparece directamente en la página cuando llega la víctima».

«Esta es una iteración interesante de la táctica, ya que, normalmente, el adversario debe producir y luego proporcionar el código a la víctima. Al mostrar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque».

La página de inicio también incluye el mensaje «Continuar con Microsoft» que, al hacer clic en él, muestra una ventana emergente que muestra el punto final de autenticación legítimo de Microsoft («microsoft [.] com/devicelogin»).

enlaces

Casi todos los sitios de suplantación de identidad con código de dispositivo se han alojado en una instancia de desarrollo de Cloudflare Workers [.], lo que ilustra cómo los actores de amenazas utilizan como arma la confianza asociada al servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir esta amenaza, se recomienda a los usuarios que escaneen los registros de inicio de sesión para buscar los inicios de sesión de Railway IP, revoquen todos los tokens de actualización de los usuarios afectados y, si es posible, bloqueen los intentos de autenticación desde Railway Infrastructure.

Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de suplantación de identidad como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Además de las herramientas publicitarias para enviar correos electrónicos de suplantación de identidad y eludir los filtros de spam, el panel de control de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de suplantación de identidad.

«Además del rápido crecimiento de la funcionalidad de las herramientas, el equipo de EvilToken ha creado un equipo de soporte completo las 24 horas del día, los 7 días de la semana, y un canal de comentarios de soporte», dijo la empresa. «También tienen comentarios de los clientes».

La revelación se produce cuando la Unidad 42 de Palo Alto Networks también prevenido de una campaña similar de suplantación de identidad con códigos de dispositivos, en la que se destacaba el uso por parte del ataque de técnicas antibots y antianálisis para pasar desapercibido, al tiempo que filtraba las cookies del navegador al actor de la amenaza al cargar la página. La primera observación de la campaña se remonta al 18 de febrero de 2026.

La página de suplantación de identidad «desactiva la funcionalidad del botón derecho, la selección de texto y las operaciones de arrastre», afirma la empresa, y añade que «bloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I/C/J) y la visualización de fuentes (Ctrl+U)» y «detecta las herramientas de desarrollo activas mediante una heurística del tamaño de la ventana, que posteriormente inicia un ciclo de depuración infinito».

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.