La FBI, a través del IC3, alertó sobre el kit Kali365, un phishing-as-a-service (PhaaS) que secuestra tokens de acceso en entornos de Microsoft 365. La campaña está orientada a la toma de cuentas y al fraude posterior, aprovechando el robo de tokens más que la captura tradicional de credenciales.

El FBI, mediante su Internet Crime Complaint Center (IC3), emitió una notificación pública sobre Kali365, un kit de phishing-as-a-service (PhaaS) que se dirige a entornos de Microsoft 365 mediante el robo de tokens de acceso. En la alerta del IC3, el mecanismo se describe como una forma de eludir defensas comunes: los atacantes buscan obtener acceso a la sesión mediante secuestro de tokens, lo que puede permitir mantener actividad autenticada sin tener que introducir contraseñas repetidamente. El robo de tokens resulta especialmente peligroso porque transforma un incidente en control inmediato de la cuenta, habilitando el acceso al correo, archivos y otros recursos asociados con el inquilino (tenant) de la víctima. Desde ese punto, el fraude puede escalar con rapidez: los actores de amenaza podrían hacerse pasar por el propietario de la cuenta para ejecutar estafas de transferencias bancarias, enviar phishing adicional a contactos o distribuir enlaces maliciosos desde canales que aparentan ser confiables. La notificación del IC3 enmarca Kali365 como parte de un ecosistema en el que la infraestructura de phishing y las capacidades operativas se empaquetan y se venden o se habilitan para otros delincuentes. Ese modelo de negocio reduce la barrera de entrada para los atacantes y puede incrementar el número de víctimas. Para las organizaciones, la lección práctica es tratar la protección de tokens, el monitoreo de sesiones y la resistencia al phishing como controles fundamentales. Aunque la capacitación de usuarios finales sigue siendo importante, la posibilidad de una escalada basada en compromiso por tokens refuerza la necesidad de medidas de seguridad de identidad que detecten inicios de sesión inusuales y revocan sesiones cuando aparezcan indicadores de compromiso. La alerta también subraya la importancia de reportar incidentes para permitir el seguimiento de tendencias.