Un correo falso de DocuSign o Microsoft lo engaña para ingresar un código que entrega acceso a los atacantes
Un correo de phishing que suplanta a DocuSign o Adobe le pide escribir un código breve en la página oficial de Microsoft. Ese código otorga silenciosamente a los atacantes acceso completo a Outlook, Teams y OneDrive, sin necesidad de contraseña ni autenticación de dos factores.
También conocida como: phishing Kali365, phishing con código de dispositivo de Microsoft, robo de token OAuth de Microsoft, toma de cuenta M365
¿Ya te pasó? Haz esto en los próximos minutos
- 1 Llama ahora mismo a la línea de fraude de tu banco o tarjeta. Usa el número del reverso de tu tarjeta, no uno del mensaje o de quien llamó. Pide que detengan o reviertan el pago y congelen la cuenta.
- 2 Si pagaste con tarjeta de regalo, transferencia o una app (Zelle, Venmo, Cash App): contacta a esa empresa de inmediato y repórtalo como fraude. Actuar rápido a veces recupera el dinero.
- 3 Reporta al FBI en ic3.gov y a la FTC en reportfraud.ftc.gov. Cuanto antes, mejor.
Qué hacer ahora mismo
- 1 Nunca ingrese un código de un correo inesperado en ningún sitio web, ni siquiera en páginas reales de Microsoft — DocuSign y Adobe Sign nunca usan el flujo de autorización de dispositivo de Microsoft para abrir un documento
- 2 Si ingresó un código de dispositivo, vaya de inmediato a myaccount.microsoft.com → Seguridad → Administrar aplicaciones conectadas y revoque todas las autorizaciones desconocidas
- 3 Revise de inmediato sus reglas de correo y configuración de reenvío en Outlook — los atacantes las configuran en segundos tras obtener acceso
- 4 Cambie su contraseña de Microsoft y cierre todas las sesiones en account.microsoft.com → Seguridad → Actividad de inicio de sesión
- 5 Report to the FTC at https://reportfraud.ftc.gov and the FBI's IC3 at https://www.ic3.gov.
Señales de alerta
- ⚠ El correo dice ser de DocuSign, Adobe Acrobat Sign o SharePoint, pero le pide autenticarse en la página de inicio de sesión de dispositivos de Microsoft — los servicios legítimos de firma de documentos nunca funcionan así
- ⚠ Es enviado a microsoft.com/common/devicelogin o aka.ms/devicelogin — al ingresar el código en esa página real de Microsoft, autoriza el dispositivo del atacante, no el suyo
- ⚠ Su notificación de MFA se activa y completarla NO lo protege una vez ingresado el código de dispositivo — el atacante recibe el token de acceso de todas formas
- ⚠ En cuestión de segundos tras ingresar el código, los atacantes añaden reglas de reenvío de correo, exportan contactos y acceden a OneDrive
- ⚠ La plataforma detrás de esto (Kali365) cuesta tan solo $250 al mes y está disponible para criminales sin conocimientos técnicos
Fuentes
- IC3 — PSA260521: El kit PhaaS Kali365 secuestra tokens de acceso de Microsoft 365 (mayo 2026)
- BleepingComputer — El FBI advierte sobre el servicio de phishing Kali365 dirigido a cuentas de Microsoft 365 (mayo 2026)
- Malwarebytes — El kit de phishing Kali365 evade el MFA y roba inicios de sesión de Microsoft (mayo 2026)
- Bitdefender — El FBI advierte que Kali365 accede a cuentas de Microsoft 365 sin contraseña (mayo 2026)