Rombo
Rombo con líneas discontinuas de color oscuro

Hackeo a cuentas de Microsoft: cómo protegerte

Hackeo a cuentas de Microsoft mediante phishing y protección de accesos en la nube

Hackeo a cuentas de Microsoft: cómo protegernos del nuevo phishing que ya preocupa al FBI

El hackeo a cuentas de Microsoft ha dado un salto importante: ya no hablamos solo del típico correo falso que intenta robarnos la contraseña. Ahora, algunas campañas de phishing están aprovechando sistemas legítimos de autenticación de Microsoft para conseguir que seamos nosotros mismos quienes autoricemos, sin saberlo, el acceso del atacante.

La alerta más reciente gira en torno a Kali365, una plataforma de phishing as a service que, según el FBI, está diseñada para robar tokens de acceso de Microsoft 365 abusando del flujo OAuth de código de dispositivo. Dicho de forma sencilla: el ciberdelincuente no siempre necesita nuestra contraseña si consigue que validemos un código en una página oficial de Microsoft.

“El FBI ha emitido una alerta pública para advertir sobre una plataforma emergente de phishing como servicio llamada Kali365, detectada por primera vez en abril de 2026.” — FBI

Fuente: FBI

Este matiz es clave. Durante años hemos repetido que activar la verificación en dos pasos era una de las mejores barreras contra el robo de cuentas. Y lo sigue siendo. Pero el nuevo escenario nos obliga a ir más allá: no basta con tener doble factor; también tenemos que revisar qué estamos aprobando, desde dónde lo hacemos y si la solicitud tiene sentido.

En esta guía vamos a explicar qué está pasando, por qué afecta a cuentas personales y corporativas de Microsoft, cómo reconocer señales sospechosas y qué medidas podemos aplicar para reducir el riesgo.

Qué está pasando con el hackeo a cuentas de Microsoft

El problema no está en que Microsoft haya dejado de ser seguro de un día para otro. El problema es que los atacantes están explotando flujos de autenticación legítimos, pensados para casos concretos, y los están convirtiendo en una vía de entrada.

Uno de los métodos más comentados es el device code phishing, o phishing mediante código de dispositivo. Este sistema fue creado para iniciar sesión en dispositivos donde escribir una contraseña es incómodo, como televisores, consolas, impresoras o equipos compartidos. El usuario ve un código, entra en una página oficial de Microsoft y lo introduce para completar el acceso.

La trampa aparece cuando ese código no pertenece a nuestro dispositivo, sino a una sesión iniciada por el atacante. Si lo introducimos y aprobamos la verificación, podemos estar entregando un token válido que permite acceder a servicios como Outlook, OneDrive, Teams o SharePoint.

“El phishing con código de dispositivo se produce cuando los atacantes se insertan en este proceso y proporcionan al usuario un código mediante un señuelo de phishing.”— Microsoft Security Blog

Este tipo de ataque es especialmente peligroso porque la víctima puede creer que está actuando correctamente. La página puede ser oficial. El código puede introducirse en un dominio real de Microsoft. Incluso la autenticación multifactor puede completarse sin errores. Pero el contexto es falso: quien inició la solicitud no fuimos nosotros.

Medios como ADSLZone han explicado que esta campaña permite sortear barreras de seguridad de Microsoft 365 sin necesidad de conocer la contraseña, precisamente porque se apoya en protocolos de confianza legítimos.

“Los usuarios de Microsoft vuelven a estar en riesgo: incluso el FBI alerta de la nueva estafa capaz de robar todos sus datos.”— ADSLZone

Fuente: ADSLZone

Por qué este phishing es más difícil de detectar

El phishing tradicional suele tener señales claras: dominios raros, faltas de ortografía, logotipos mal puestos, adjuntos sospechosos o mensajes demasiado agresivos. En cambio, este tipo de ataque puede apoyarse en servicios reales, comunicaciones convincentes y páginas legítimas.

El atacante puede enviarnos un correo que parece una factura, un documento compartido, una alerta de seguridad, una invitación de Teams o una solicitud urgente relacionada con Microsoft 365. Después nos pide introducir un código en una página de Microsoft. Y ahí está el problema: como la web parece auténtica, bajamos la guardia.

Microsoft también ha descrito campañas en las que la inteligencia artificial se utiliza para crear correos más personalizados, adaptados al cargo, sector o rutina de trabajo de la víctima. Eso aumenta la probabilidad de que el mensaje parezca creíble y de que el usuario complete el proceso.

“Esta campaña demostró una mayor tasa de éxito, impulsada por la automatización y la generación dinámica de códigos.” — Microsoft Security Blog

Por eso conviene cambiar la mentalidad. Ya no podemos valorar solo si una página “parece oficial”. Tenemos que preguntarnos: ¿hemos iniciado nosotros este proceso?, ¿esperábamos ese código?, ¿tiene sentido la solicitud?, ¿viene de una comunicación verificada?

Señales de alerta ante una posible cuenta Microsoft comprometida

Podemos sospechar de un intento de hackeo a cuentas de Microsoft cuando aparece alguna de estas situaciones:

  • Recibimos un código de inicio de sesión que no hemos solicitado.
  • Nos piden introducir un código en microsoft.com/devicelogin sin que hayamos iniciado sesión en ningún dispositivo propio.
  • Aparecen correos enviados desde nuestra cuenta que no reconocemos.
  • Se crean reglas extrañas en Outlook para reenviar, ocultar o borrar mensajes.
  • Detectamos accesos desde países, navegadores o dispositivos desconocidos.
  • OneDrive, Teams o SharePoint muestran actividad que no encaja con nuestro uso habitual.
  • Nos llegan avisos de seguridad de Microsoft y no recordamos haber hecho ningún cambio.
  • La cuenta solicita volver a iniciar sesión con demasiada frecuencia.

 

En empresas, estas señales pueden ser todavía más delicadas. Una cuenta comprometida puede abrir la puerta a correos internos fraudulentos, robo de documentos, suplantación frente a clientes, acceso a paneles de administración o movimientos laterales dentro de la organización.

Aquí es donde debemos prestar especial atención al correo corporativo. Un buzón comprometido no solo afecta al usuario: puede afectar a la reputación de toda la empresa.

Qué debemos hacer para proteger una cuenta Microsoft

La primera medida sigue siendo activar la verificación en dos pasos, pero no debemos quedarnos ahí. Si el ataque intenta manipular el propio proceso de autenticación, necesitamos endurecer la forma en la que autorizamos accesos.

Estas son las medidas más importantes:

Revisar los métodos de autenticación

Conviene priorizar métodos resistentes al phishing, como passkeys, Windows Hello, llaves FIDO2 o Microsoft Authenticator configurado correctamente. Los SMS son más débiles porque pueden estar expuestos a ataques como el duplicado de SIM o la interceptación de mensajes.

“Microsoft recomienda aprovechar métodos de autenticación resistentes al phishing, como tokens FIDO o Microsoft Authenticator con passkey.” — Microsoft Security Blog

No introducir códigos que no hemos solicitado

Si recibimos un código de Microsoft y no hemos iniciado sesión en ningún dispositivo, no debemos usarlo. Tampoco debemos copiar códigos recibidos por correo, chat o mensaje si no entendemos exactamente qué estamos autorizando.

Comprobar la actividad reciente

Desde el panel de seguridad de la cuenta Microsoft podemos revisar inicios de sesión, ubicaciones, dispositivos y eventos recientes. Si algo no encaja, debemos cerrar sesiones, cambiar la contraseña y revocar accesos.

Auditar aplicaciones conectadas

Muchas cuentas tienen aplicaciones de terceros con permisos concedidos desde hace años. Debemos revisar qué apps pueden acceder al correo, archivos o calendario y eliminar las que no usemos.

Aplicar políticas de acceso condicional en empresas

En entornos corporativos con Microsoft Entra ID, podemos restringir flujos de autenticación por código de dispositivo, exigir dispositivos gestionados, bloquear ubicaciones anómalas y reforzar controles según el nivel de riesgo.

“Microsoft recomienda bloquear el flujo de código de dispositivo siempre que sea posible.” — Microsoft Security Blog

Qué hacer si creemos que nos han hackeado la cuenta de Microsoft

Si sospechamos que alguien ha entrado en nuestra cuenta, debemos actuar rápido y en orden. No conviene limitarse a cambiar la contraseña y olvidarnos del resto, porque el atacante podría haber creado reglas, sesiones persistentes o permisos de aplicación.

Primero, debemos cambiar la contraseña desde un dispositivo seguro. Después, cerrar todas las sesiones activas y revisar la actividad reciente. También debemos eliminar métodos de recuperación desconocidos, comprobar aplicaciones conectadas y revisar reglas de Outlook.

En cuentas de empresa, el equipo técnico debería revisar logs de Microsoft 365, tokens activos, reenvíos automáticos, permisos delegados, accesos sospechosos y posibles correos enviados desde la cuenta comprometida.

Si el incidente ha afectado a datos de clientes, facturación, comunicaciones internas o documentación sensible, debemos tratarlo como un incidente de seguridad completo, no como una simple molestia.

Por qué las empresas deben tomárselo en serio

El correo y las cuentas Microsoft 365 se han convertido en una pieza central de muchas empresas. Ahí están los documentos, conversaciones, calendarios, reuniones, archivos compartidos y, en muchos casos, información de clientes o proveedores.

Un ejemplo de la importancia de proteger cuentas corporativas lo vimos en el ataque a Microsoft detectado en enero de 2024. Según la investigación publicada entonces, el incidente comenzó con una cuenta heredada de prueba que no tenía MFA activado y una contraseña débil, lo que permitió acceder a correos y documentos adjuntos de perfiles internos concretos.

“La cuenta tenía una contraseña fácil de adivinar y no tenía activada la autenticación multifactor.” — GO-Global

Fuente: GO-Global

La lección es clara: las cuentas antiguas, los permisos heredados, las contraseñas débiles y los métodos de autenticación mal configurados son un riesgo real. No basta con proteger la web pública o el servidor principal; también tenemos que proteger identidades, correos y accesos.

Cómo encaja esto con la seguridad del hosting

Aunque el ataque se dirija a cuentas Microsoft, la seguridad de una empresa no funciona por compartimentos aislados. El correo, el hosting, la web, el panel de administración, las copias de seguridad y los accesos internos forman parte del mismo ecosistema.

Si un atacante compromete una cuenta de correo, puede intentar restablecer contraseñas de WordPress, acceder a paneles, contactar con soporte técnico suplantando al titular o interceptar comunicaciones sensibles. Por eso, desde una perspectiva de hosting, debemos proteger tanto la infraestructura como las identidades que la administran.

En Bitralix trabajamos precisamente sobre esa idea: soluciones en la nube con rendimiento, fiabilidad y seguridad, acompañadas de soporte técnico para que los proyectos no dependan únicamente de una configuración inicial.

“Bitralix ofrece soluciones en la nube con alto rendimiento.”— Equipo de Bitralix

Fuente: Bitralix

Proteger una web también implica proteger los accesos, el correo asociado, las copias de seguridad y la infraestructura donde vive el proyecto.

Preguntas frecuentes (FAQs)

¿Qué es el hackeo a cuentas de Microsoft mediante código de dispositivo?

Es una técnica de phishing en la que el atacante inicia un flujo de acceso y engaña a la víctima para que introduzca un código en una página legítima de Microsoft. Si la víctima lo valida, puede autorizar el acceso del atacante sin darse cuenta.

¿Puede alguien entrar en mi cuenta Microsoft sin saber mi contraseña?

Sí, en ciertos ataques basados en tokens o flujos OAuth, el atacante no necesita conocer la contraseña si consigue que el usuario autorice una sesión fraudulenta. Por eso es tan importante no introducir códigos que no hayamos solicitado.

¿La verificación en dos pasos evita el phishing en Microsoft 365?

Ayuda mucho, pero no es una protección absoluta. Algunas campañas intentan engañar al usuario para que complete la verificación en una sesión iniciada por el atacante. Por eso conviene usar métodos resistentes al phishing y revisar siempre el contexto.

¿Qué hago si recibo un código de Microsoft que no he pedido?

No lo introduzcas en ninguna página. Revisa la actividad reciente de tu cuenta, cambia la contraseña si ves algo sospechoso y activa métodos de seguridad adicionales.

¿Cómo saber si mi cuenta de Microsoft 365 ha sido comprometida?

Debemos revisar inicios de sesión desconocidos, reglas extrañas en Outlook, correos enviados sin permiso, dispositivos nuevos, aplicaciones conectadas no reconocidas y actividad anómala en OneDrive, Teams o SharePoint.

¿Qué medidas deben aplicar las empresas contra el phishing en Microsoft 365?

Las empresas deberían reforzar MFA, aplicar acceso condicional, bloquear o limitar flujos de código de dispositivo cuando no sean necesarios, auditar permisos, formar a usuarios y monitorizar actividad sospechosa.

¿El hosting puede verse afectado si hackean mi correo Microsoft?

Sí. Si el correo comprometido se utiliza para recuperar contraseñas, hablar con soporte o administrar servicios, el atacante podría intentar acceder a la web, paneles, dominios o servicios asociados.

Conclusión final

El hackeo a cuentas de Microsoft ya no depende solo de contraseñas robadas. Las campañas actuales pueden apoyarse en páginas oficiales, códigos de dispositivo y tokens de sesión para engañarnos de una forma mucho más sutil.

La verificación en dos pasos sigue siendo necesaria, pero debemos complementarla con buenas prácticas: no introducir códigos no solicitados, revisar accesos, usar métodos resistentes al phishing, auditar aplicaciones conectadas y aplicar políticas de acceso condicional en empresas.

La idea principal es sencilla: no debemos aprobar nada que no hayamos iniciado nosotros. Y si gestionamos una empresa, debemos tratar las cuentas Microsoft 365 como activos críticos, al mismo nivel que la web, el hosting, los backups o los paneles de administración.

¿Te preocupa la seguridad de tu web, tu correo o tus accesos corporativos?

En Bitralix podemos ayudarte a reforzar la base técnica de tu proyecto con soluciones de hosting, infraestructura cloud, seguridad avanzada y soporte técnico cercano.

Protección de hosting y cuentas corporativas con seguridad avanzada de Bitralix
Comparte este artículo
*
*
¿No tienes cuentas? Regístrate ahora
No te pierdas nuestros próximos contenidos

Cada semana compartimos artículos, casos reales, recomendaciones y recursos para ayudarte a optimizar tu infraestructura tecnológica, mejorar la seguridad y tomar mejores decisiones IT.

Déjanos tu correo y te avisaremos cuando publiquemos nuevo contenido.