Alguien ha encontrado la forma de colarse en tu Outlook sin tocar la contraseña. Sí, como suena. No les hace falta. La nueva campaña de phishing que está circulando es tan afinada que convierte la verificación en dos pasos en un bonito adorno. El anzuelo es un correo que te llega con toda la parafernalia oficial, alertándote de una infracción grave del Código de Conducta de Microsoft.
El anzuelo: tu cuenta va a ser cerrada
El gancho es pura ingeniería social de la que funciona. Recibes un mensaje con un asunto del tipo 'Infracción del Código de conducta de Microsoft. Acción requerida'. Dentro, un texto que te informa de que tu cuenta de Outlook está a punto de ser suspendida. Para evitarlo, solo tienes que hacer clic en un enlace de 'apelación'. La web a la que llegas es un clon perfecto de la página de inicio de sesión de Microsoft. Hasta aquí, todo relativamente normal. Lo nuevo empieza cuando metes tus datos.
El objetivo ya no es robarte la contraseña y ya está. Y esa es la parte que da escalofríos. Al iniciar sesión en ese espejo maldito, la página maliciosa no solo se queda con tu email y tu clave. Actúa como un intermediario entre tú y los servidores reales de Microsoft, un ataque de tipo proxy.
Cómo consiguen lo imposible: el secuestro de sesión
Cuando validas tu identidad con el segundo factor (el código del SMS, la app Authenticator, la huella...), el sistema de Microsoft genera un token de sesión. Es algo así como una llave maestra temporal que tu navegador guarda para no pedirte la contraseña cada vez que abres el correo. Los atacantes han aprendido a interceptar ese token durante el proceso de inicio de sesión. Lo roban.
Lo explica muy bien la gente de FayerWayer, que levantó la liebre de esta campaña. Una vez que el atacante tiene el token, no necesita ni tu contraseña ni tu doble factor. Simplemente inyecta esa llave en su propio navegador y el servidor de Microsoft le da paso sin rechistar, porque técnicamente la sesión ya está autorizada por ti. Tu cuenta de correo, tu OneDrive y cualquier servicio asociado dejan de ser tuyos.
La paradoja del 2FA: cuando la llave maestra es una cookie
Esto nos obliga a repensar un mantra de la ciberseguridad moderna. Hemos asumido que el doble factor de autenticación es una barrera definitiva, y lo es, pero solo para ataques que intentan iniciar sesión desde cero. Si el ataque se produce en el mismo momento en que nosotros estamos autorizando la entrada, la protección se evapora. No es un fallo de Microsoft, es una limitación conceptual del sistema: el eslabón más débil sigue siendo el juicio humano.
La única defensa real aquí es una desconfianza casi paranoica. Antes de hacer clic en cualquier enlace de un correo con tono urgente, la regla de oro es revisar la URL de destino. Si no proviene de un dominio inequívoco de microsoft.com, la pestaña se cierra sin miramientos. En 2026, los ciberdelincuentes ya no rompen cerraduras digitales; te convencen para que les entregues la llave maestra bajo la amenaza de una falsa sanción administrativa. Cosas que pasan.
Hype-O-Meter
Nivel de hype: 8.5/10. No es un hype de lanzamiento, es un hype de amenaza. La técnica del secuestro de token no es nueva, pero el envoltorio —el falso Código de Conducta, la página proxy— está tan bien rematado que marca un antes y un despues. Si ya picaste, no es el fin del mundo: cierra todas las sesiones de tu cuenta Microsoft, cambia la contraseña y borra cookies y caché del navegador. Y respira, que el pánico es justo lo que ellos quieren.
El resumen para vagos (TL;DR)
- 🎯 ¿Qué ha pasado? Una estafa de phishing se salta el 2FA de Outlook secuestrando el token de sesión.
- 🔥 ¿Por qué importa? Ni el doble factor te protege si el atacante te ve autorizar el acceso y roba la llave.
- 🤔 ¿Nos afecta o es solo un meme? Afecta a cualquiera que pique con correos urgentes de falso soporte; la desconfianza es gratis.
