- Kali365 es una sofisticada plataforma de phishing como servicio, también conocida como Octopi365 y Freedom365, dirigida a cuentas de Microsoft.
- Fue detectado por primera vez por la empresa de seguridad Huntress en mayo de 2026 mientras examinaba un puñado de inicios de sesión de Microsoft 365 procedentes de China.
- El FBI emitió una alerta detallando el proceso como parte de un anuncio de servicio público.
Los ataques de phishing no son nada nuevo: se estima que cada día se envían 3.400 millones de correos electrónicos maliciosos, lo que representa el 1,2% de todo el tráfico de correo electrónico.
Solo Google bloquea aproximadamente 100 millones de correos electrónicos de phishing cada día, a medida que los actores de amenazas continúan evolucionando sus métodos, utilizando campañas únicas, contenido generado por IA y, más recientemente, códigos QR para atraer a víctimas desprevenidas.
Sin embargo, un reciente conjunto de herramientas de phishing como servicio identificado por la empresa de ciberseguridad Huntress destaca por su sofisticación, escala y tasa de éxito.
Alquiler de un servicio de pesca de última generación
Lo que hace que Kali365 sea único en comparación con sus pares es la escala a la que opera y los métodos que utiliza. A diferencia de la mayoría de las operaciones de phishing, esta es una herramienta con al menos 33 plantillas integradas que se hacen pasar por productos y servicios de Microsoft, 100 puntos finales API y controles de acceso basados en roles para equipos de phishing.
Además de ser un phishing habilitado por IA, tiene un sofisticado canal de pago, una integración de pasarela de pago criptográfico, acceso escalonado al paquete de software y, para aquellos que buscan la oferta completa, una aplicación de escritorio para operadores.
Sin embargo, Kali365 y sus variantes y clones, como Octopi365 y Freedom365, no comprometen ni eluden directamente la MFA; En su lugar, utilizan un conjunto de correos electrónicos y llamadas a la acción altamente legítimos que luego roban cookies de sesión y tokens OAuth, permitiendo el acceso a la cuenta de la víctima.
El proceso en sí es perfecto; Una víctima potencial ve un sitio web de Microsoft, un certificado SSL y ninguna advertencia de que efectivamente está entregando acceso a un mal actor, quien luego usa su token autenticado para acceder a su cuenta. Los señuelos generados por IA son sofisticados en sí mismos, pero como señala el FBI, aún requieren que el usuario sea objeto de phishing por correo electrónico, muchos de ellos disfrazados de “servicios confiables de productividad en la nube y de intercambio de documentos”.
Pero hay un uso más siniestro de la IA, donde el modelo Claude AI de Anthropic se utiliza para leer hilos de correo electrónico interceptados, puntuarlos por posible fraude y redactar mensajes de respuesta creíbles, completos con datos bancarios falsos y un sentido de urgencia, enviados desde el propio buzón de la víctima.
Si bien la advertencia del FBI sigue vigente, de alguna manera reconoce que este no es un intento de phishing fácil de evitar, dada la escala, la cantidad de vectores de ataque de phishing y la apariencia “legítima” en comparación con la mayoría de sus competidores. Solucionar esto requiere un cambio para cerrar las fallas de seguridad de Microsoft que permiten dichas transferencias de autenticación, pero por ahora, cualquier persona afectada puede informar su experiencia aquí.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
