Roban cuentas Microsoft 365 aunque uses doble verificación

Hay una campaña de ciberataques activa ahora mismo que ya ha afectado a más de 340 organizaciones en Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania. Los atacantes van a por cuentas de Microsoft 365 —correo, calendario, archivos— y lo están haciendo con una técnica que esquiva el doble factor de autenticación. Si tu negocio usa Microsoft 365, esto te afecta directamente.

Qué está pasando exactamente

Desde el 19 de febrero de 2026, investigadores de la empresa de ciberseguridad Huntress han detectado una oleada de ataques que no para de crecer. El sector afectado es amplio: construcción, inmobiliarias, sanidad, servicios financieros, despachos legales, ONGs y administración pública, entre otros.

Lo que hace especialmente peligrosa esta campaña es que no se basa en engañarte para que introduzcas tu contraseña en una web falsa al uso. Va más lejos: explota un mecanismo legítimo de Microsoft llamado flujo de autorización de dispositivo (device code flow), diseñado originalmente para conectar televisores inteligentes, impresoras u otros dispositivos que no tienen teclado fácil.

Qué hacer: Si recibes un correo pidiendo que vayas a microsoft.com/devicelogin e introduzcas un código, detente. Verifica con tu equipo técnico antes de hacer cualquier cosa.

Cómo funciona el ataque paso a paso

El proceso es más sencillo de lo que parece, y por eso es tan efectivo:

1. El atacante genera un código de dispositivo usando la propia API oficial de Microsoft.
2. Te envía un correo de aspecto legítimo —una oferta de obra, un documento de firma, un aviso de buzón de voz— con instrucciones para ir a una página de inicio de sesión de Microsoft real e introducir ese código.
3. Tú entras, introduces el código, tu usuario y tu contraseña. Si tienes doble factor activado, también introduces ese código.
4. En ese momento, Microsoft crea un token de acceso y un token de actualización que le llegan directamente al atacante.

Por qué el doble factor no es suficiente aquí

Este es el punto que más preocupa a los expertos. Normalmente, si alguien roba tu contraseña no puede entrar en tu cuenta si tienes el 2FA activado. Pero en este caso, tú mismo has completado el proceso de autenticación —incluyendo el segundo factor— sin saberlo. Los tokens que genera Microsoft tras ese proceso son válidos durante semanas o meses, y lo más grave: siguen siendo válidos aunque cambies tu contraseña.

Es decir, el atacante puede seguir accediendo a tu correo, tus archivos y tu calendario aunque tú hayas cambiado la clave.

Qué hacer: Si sospechas que has caído en este tipo de ataque, cambiar la contraseña no es suficiente. Es necesario revocar todos los tokens de acceso activos de tu cuenta desde el panel de administración de Microsoft Entra.

Cómo llega el correo de phishing

Los atacantes no envían los correos directamente desde dominios sospechosos. Los disfrazan pasando los enlaces maliciosos por servicios de redirección legítimos de empresas como Cisco, Trend Micro o Mimecast —herramientas que normalmente usa el sector de la ciberseguridad para proteger correos—. De esta forma, los filtros antispam no los detectan.

Una vez que haces clic, el enlace te lleva a través de una cadena de saltos entre sitios comprometidos, servicios en la nube como Cloudflare Workers o Vercel, hasta aterrizar en una página que te muestra directamente el código y un botón de “Continuar a Microsoft”. Todo parece normal.

Los señuelos utilizados han incluido:

• Notificaciones de mensajes de voz pendientes
• Documentos para firmar que imitan a DocuSign
• Formularios de Microsoft con aspecto corporativo
• Presupuestos o solicitudes de obras (especialmente dirigidos al sector construcción)

Qué hacer: Forma a las personas de tu equipo para que desconfíen de cualquier correo que les pida introducir un código en una página de Microsoft, aunque el correo parezca venir de una fuente conocida.

Quién hay detrás y qué herramientas usan

Huntress ha identificado que todos los ataques pasan por unas pocas direcciones IP pertenecientes a Railway, una plataforma de alojamiento en la nube. Esta infraestructura está siendo usada como motor de recolección de credenciales.

Además, han vinculado la campaña a una plataforma llamada EvilTokens, que se vende como servicio en Telegram desde el mes pasado. Cualquier ciberdelincuente puede pagar por ella y lanzar ataques de este tipo sin necesidad de conocimientos técnicos avanzados. Incluye herramientas para enviar correos de phishing, saltarse filtros antispam y redirigir a las víctimas a través de dominios vulnerables.

Grupos vinculados a Rusia, como Storm-2372 y APT29, han usado técnicas similares en campañas anteriores, aunque esta última oleada incluye perfiles de atacantes más variados.

Qué puedes hacer si usas Microsoft 365

Si gestionas las cuentas de tu negocio o las de tus empleados, hay varias medidas que puedes tomar:

• Revisa los registros de inicio de sesión en busca de accesos desde direcciones IP de Railway.
• Revoca todos los tokens de actualización de las cuentas sospechosas o de toda la organización si hay riesgo extendido.
• Considera bloquear la autenticación de dispositivos desde infraestructura de Railway si tu administrador lo permite.
• Activa políticas de acceso condicional en Microsoft Entra que limiten qué dispositivos y ubicaciones pueden generar tokens.

Qué hacer: Habla con quien gestione la seguridad de tu Microsoft 365. Si no tienes a nadie asignado para eso, es el momento de tenerlo.

Siguiente paso

Este tipo de ataque demuestra que tener el doble factor activado no siempre es suficiente. La configuración correcta del entorno Microsoft 365 —políticas de acceso, revisión de tokens, alertas de inicio de sesión— marca la diferencia entre detectar un ataque a tiempo o enterarte semanas después de que alguien ha estado leyendo tu correo.

Si quieres saber si tu organización está expuesta a este tipo de amenaza, en SeguridadWeb realizamos auditorías de seguridad adaptadas a autónomos y pequeñas empresas. Contáctanos y te contamos cómo podemos ayudarte.