Kali365: PhaaS que salta el MFA de Microsoft 365 vía OAuth

Qué pasa

Kali365 es una plataforma PhaaS (phishing-as-a-service — servicio criminal que alquila infraestructura de phishing lista para usar) que el FBI ha empezado a rastrear activamente. Su especialidad: comprometer cuentas de Microsoft 365 sin tocar la contraseña.

El vector es el *flujo OAuth (protocolo que delega acceso a apps sin exponer credenciales) de código de dispositivo*. Este flujo existe para autenticar dispositivos sin pantalla — smart TVs, consolas de videojuegos. El usuario visita un portal, introduce un código corto y aprueba el acceso. Kali365 genera ese código, manda un enlace de phishing a la víctima haciéndose pasar por notificación legítima de Microsoft, y espera a que la víctima lo apruebe.

Al aprobarlo, el atacante recibe un *access token* y un *refresh token* válidos. Acceso completo a email, Teams y SharePoint — sin contraseña, sin segundo factor. El MFA (autenticación multifactor — verificación en dos pasos) no bloquea esto porque el usuario aprobó el flujo conscientemente, aunque sin entender qué estaba haciendo.

Por qué importa

El *device code flow* está habilitado por defecto en todos los tenants de Microsoft 365 que no lo hayan restringido explícitamente. La mayoría no lo ha hecho.

El resultado es un token de larga duración que no expira con el cambio de contraseña. La víctima resetea su password, cree que está a salvo, y el atacante sigue dentro.

Kali365 baja el umbral de entrada al máximo: panel web, plantillas de engaño por sector vertical, soporte técnico criminal. Cualquier actor sin conocimientos técnicos puede lanzar campañas masivas contra empresas.

El impacto no se limita al acceso inicial. Desde una cuenta M365 comprometida se puede mover lateralmente por Teams (enviar phishing interno creíble), acceder a SharePoint (exfiltrar documentos confidenciales), y reutilizar el token para comprometer servicios conectados vía OAuth. Un token, múltiples superficies.

Qué hacer

• Deshabilita el device code flow en Azure AD / Entra ID vía Conditional Access. Si no usas dispositivos sin pantalla en tu organización, no hay razón para tenerlo activo.
• Crea una Conditional Access Policy que bloquee `urn:ietf:params:oauth:grant-type:device_code` excepto para grupos explícitamente autorizados y controlados.
• Audita sign-ins de los últimos 30 días filtrando por `authenticationMethodsUsed = deviceCode` en los logs de Entra ID. Cualquier entrada inesperada es señal de compromiso.
• Busca tokens activos sospechosos: revisa sesiones activas de usuarios con privilegios en el panel de Entra ID y revoca las que no reconozcas.
• Forma a tu equipo: ningún proceso legítimo de Microsoft solicita aprobar un device code por email. Ese patrón es siempre phishing, sin excepción.

El abuso del flujo OAuth en lugar de las credenciales lleva años creciendo — el grupo APT29 (APT: grupo de hackers patrocinado por un estado-nación) lo usaba contra gobiernos europeos ya en 2021. Kali365 lo democratiza. El problema de fondo no es la técnica: es que los defensores siguen tratando el MFA como bala de plata cuando los atacantes llevan años rodeándolo.