Nueva plataforma de phishing como servicio expone herramientas de EvilTokens para comprometer cuentas Microsoft 365

Qué pasó
El pasado 3 de julio de 2026, investigadores de Cisco Talos divulgaron el descubrimiento de una plataforma de phishing como servicio bautizada como ARToken, la cual operaría como una extensión afiliada del kit de phishing conocido como EvilTokens, orientado al compromiso de cuentas corporativas en Microsoft 365. El hallazgo se produjo durante un trabajo de respuesta a incidentes en el que se detectó infraestructura maliciosa vinculada a una campaña activa.
Según el informe publicado por Talos, los analistas identificaron un panel de administración desarrollado sobre el framework React, denominado ARToken Panel, que expone públicamente más de 80 puntos de acceso de interfaz de programación. El análisis del código JavaScript del lado del cliente permitió documentar capacidades que exceden el alcance habitual de una plataforma de phishing convencional, entre ellas el robo de tokens de autenticación de Microsoft 365, el establecimiento de acceso persistente mediante tokens de actualización primaria, y la extracción de datos desde buzones de Outlook, sitios de SharePoint y archivos almacenados en OneDrive.
La plataforma también incorpora herramientas para desplegar infraestructura de phishing mediante la plataforma de cómputo en la frontera de Cloudflare, conocidas como Cloudflare Workers, y para automatizar múltiples etapas de operaciones de compromiso de correo corporativo. De acuerdo con el reporte, múltiples indicadores técnicos sugieren una relación directa con el ecosistema EvilTokens, incluyendo el uso del mismo flujo de autenticación de código de dispositivo de Microsoft, idénticas solicitudes de tipo 'POST' hacia el punto de acceso '/api/device/start', y los mismos endpoints para configurar, renovar y readquirir tokens de actualización primaria aun después de su expiración.
La firma de ciberseguridad Sekoia fue la primera en documentar la plataforma EvilTokens en marzo de 2026, describiéndola como un servicio comercial de phishing ofrecido a ciberdelincuentes mediante un pago inicial de mil quinientos dólares y una suscripción mensual de quinientos dólares. Investigaciones posteriores de la misma firma identificaron flujos de trabajo impulsados por inteligencia artificial que procesan buzones comprometidos para evaluar su valor financiero, evidencia de la creciente sofisticación del mercado de cibercrimen como servicio.
Contexto
El caso de ARToken se inscribe en una tendencia creciente dentro del mercado global de cibercriminalidad: la profesionalización del phishing como servicio, donde desarrolladores ofrecen plataformas completas a afiliados a cambio de tarifas de instalación y suscripciones mensuales. Este modelo reduce la barrera técnica de entrada y permite que actores con menores capacidades ejecuten campañas sofisticadas contra organizaciones de cualquier tamaño.
La técnica explotada por EvilTokens y su afiliada ARToken se denomina phishing de código de dispositivo y se basa en el flujo de autorización de dispositivos del protocolo OAuth 2.0 de Microsoft. Bajo este esquema, la víctima es inducida a ingresar un código legítimo emitido por Microsoft en una página oficial de autenticación, lo que provoca que la compañía entregue tokens de sesión directamente al atacante. Dado que la autenticación se realiza a través de la infraestructura legítima del proveedor, los ataques logran evadir sistemas de autenticación multifactor, una de las principales barreras de seguridad implementadas por empresas a nivel global.
El componente de inteligencia artificial incorporado por EvilTokens para analizar buzones de correo comprometidos representa un salto cualitativo en la automatización del cibercrimen. La capacidad de clasificar mensajes y priorizar objetivos en función de su valor financiero potencial permite a los operadores enfocar sus esfuerzos en víctimas de mayor rentabilidad, incrementando tanto la eficacia como el retorno económico de cada campaña. Este patrón refleja la adopción transversal de herramientas de inteligencia artificial generativa y aprendizaje automático en el ecosistema criminal digital durante 2026.
Impacto para empresas chilenas
El mercado corporativo chileno presenta una alta dependencia de la suite Microsoft 365, utilizada tanto por grandes empresas como por pequeñas y medianas firmas para gestión documental, correo electrónico y colaboración interna. Esta concentración convierte al país en un objetivo potencial para campañas de phishing de código de dispositivo, dado que el vector de ataque no depende de vulnerabilidades de software sino de la interacción del usuario con una página legítima.
Para las empresas chilenas, particularmente las pequeñas y medianas que han digitalizado sus operaciones en los últimos años, el hallazgo de ARToken plantea la necesidad urgente de revisar los mecanismos de autenticación. La implementación de autenticación multifactor tradicional basada en códigos de un solo uso resulta insuficiente frente a técnicas que obtienen tokens directamente desde los servidores del proveedor. Soluciones adicionales, como la verificación de aplicaciones registradas, el monitoreo de inicios de sesión anómalos y la restricción de flujos de autorización de dispositivos, cobran relevancia en este nuevo escenario.
Asimismo, el modelo de suscripción comercial de EvilTokens, con tarifas accesibles en dólares, sugiere una democratización del acceso a herramientas de ataque avanzadas. Equipos de seguridad corporativa en Chile deberían considerar la incorporación de servicios de monitoreo de identidad en la nube, capacitación continua a usuarios sobre ingeniería social y políticas explícitas de respuesta ante incidentes de compromiso de credenciales. La Superintendencia de Bancos e Instituciones Financieras, junto con el Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, han emitido previamente recomendaciones que cobran especial vigencia frente a esta nueva generación de amenazas.
Qué sigue
La evolución de plataformas como ARToken y EvilTokens anticipa una intensificación de la presión sobre los proveedores de identidad en la nube, quienes deberán reforzar los mecanismos de detección de flujos de autorización sospechosos y ofrecer garantías adicionales a sus clientes corporativos. Microsoft, en particular, enfrenta el desafío de contener el abuso de su flujo de código de dispositivo sin comprometer la experiencia de usuarios legítimos que utilizan esta función para autenticarse en dispositivos personales o entornos sin navegador.
En el mediano plazo, se espera que el mercado de ciberseguridad responda con soluciones de detección basadas en inteligencia artificial capaces de identificar patrones anómalos en la generación y uso de tokens de actualización primaria. La profesionalización del phishing como servicio obliga a las empresas chilenas a elevar su nivel de inversión en seguridad, incorporar monitoreo continuo y asumir que la autenticación multifactor, por sí sola, dejó de ser una barrera definitiva frente a actores que operan con herramientas comerciales cada vez más sofisticadas.
¿Necesitas software que se adapte exactamente a tu negocio?
Web apps, dashboards, APIs y plataformas a medida. Código propio, sin licencias ni plataformas genéricas.
Cotiza tu proyectoRespuesta en menos de 24h · Cotizacion sin compromiso
Artículos Relacionados

Railway capta US$100 millones para competir con AWS en infraestructura cloud nativa para inteligencia artificial
La plataforma cloud con sede en San Francisco anunció una ronda Serie B liderada por TQ Ventures, con la que busca posicionarse como alternativa a los proveedores tradicionales como Amazon Web Services y Google Cloud. La compañía, que ya cuenta con dos millones de desarrolladores y procesa más de diez millones de despliegues mensuales, apunta a reducir los tiempos de implementación que resultan críticos en la era de los asistentes de programación basados en inteligencia artificial. La valoración la sitúa entre las startups de infraestructura más relevantes surgidas durante el actual ciclo de inversión en IA.

Apple reporta US$ 1,4 billones en transacciones de la App Store, donde el 90% no paga comisiones a la compañía
La tecnológica estadounidense presentó su informe anual sobre el ecosistema de su tienda de aplicaciones, indicando que las facturaciones y ventas de desarrolladores alcanzaron los US$ 1,4 billones durante 2025. Según la compañía, el 90% de esas transacciones no generaron comisiones para Apple. El reporte se publica días antes de la Conferencia Mundial de Desarrolladores (WWDC), donde se esperan anuncios relevantes en materia de inteligencia artificial.

Nuevo modelo de cobro de GitHub Copilot genera rechazo entre desarrolladores por alza en costos
Microsoft anunció el cambio desde una tarifa plana a un modelo de facturación basado en el consumo de tokens para GitHub Copilot, lo que provocaría un aumento significativo en los costos para usuarios individuales y pequeñas empresas. Desarrolladores en foros como Reddit y X reportaron incrementos que van desde US$29 hasta cerca de US$750 mensuales. La medida entrará en vigencia el 1 de junio de 2026 y reaviva el debate sobre la sostenibilidad del modelo de negocios de las herramientas de inteligencia artificial.