Los ataques se multiplican por 37: cómo funciona EvilTokens y por qué los antivirus lo dejan pasar
Analizamos hasta qué punto la comodidad puede volverse peligrosa.
Los ataques a cuentas están cambiando de forma nuevamente: los atacantes evitan cada vez más los esquemas habituales y utilizan mecanismos de autorización legítimos. A primera vista el proceso parece seguro, pero ahí radica el problema principal: la víctima abre el acceso a su propio perfil sin sospechar el engaño.
Los especialistas registraron un aumento brusco de ataques que emplean los llamados Device Code — en un año su número se incrementó más de 37 veces. Se trata del abuso del mecanismo OAuth 2.0 Device Authorization Grant, que se creó originalmente para facilitar el acceso en dispositivos sin teclado o con entrada limitada — por ejemplo, en televisores inteligentes, impresoras o dispositivos IoT.
El escenario del ataque es bastante simple. El atacante inicia una solicitud de autorización y obtiene un código especial. Luego, con diversos pretextos, envía ese código a la víctima — por ejemplo, por correo o por un mensajero. Tras introducir el código en la página de inicio de sesión legítima, el usuario confirma efectivamente el acceso a la cuenta y el atacante obtiene tokens válidos y control total de la sesión.
Esta técnica se conoce desde 2020, pero su uso activo comenzó más tarde. Ya no se trata de casos aislados: el método lo emplean masivamente tanto grupos con motivación financiera como actores más organizados.
El equipo de Push Security señala que las herramientas listas para usar, vendidas bajo el modelo «phishing como servicio», desempeñaron un papel clave en la difusión. El conjunto más notable fue EvilTokens, que simplificó considerablemente el lanzamiento de este tipo de ataques y los hizo accesibles incluso para participantes con poca experiencia. Paralelamente, se desarrollan otras soluciones que compiten en el mismo nicho.
Entre ellas destacan VENOM, SHAREFILE, CLURE, LINKID, AUTHOV, DOCUPOLL y otras plataformas. La mayoría enmascara los ataques como servicios SaaS populares, incluyendo Microsoft 365, DocuSign, Adobe y herramientas corporativas como Teams. Para aumentar la eficacia se emplean filtros anti-bot, páginas falsas e infraestructuras en la nube.
Algunos kits imitan procesos laborales reales — por ejemplo, el envío de documentos para firma o notificaciones del departamento de Recursos Humanos. Este enfoque reduce las sospechas y aumenta la probabilidad de que el usuario introduzca el código sin hacer preguntas.
Los especialistas aconsejan limitar el uso de la autorización Device Code allí donde no sea necesaria. También ayuda analizar los registros de acceso: deben despertar sospechas los intentos de autorización inesperados, las direcciones IP extrañas y las sesiones inusuales.
El aumento de estos ataques demuestra que los atacantes se apoyan cada vez más no en vulnerabilidades, sino en la confianza de los usuarios y en los mecanismos legítimos de los servicios.