Activaste el doble factor de autenticación y crees que estás protegido. Estás equivocado
Durante años, expertos en ciberseguridad de todo el mundo han repetido el mismo consejo: activa la autenticación de dos factores (2FA) en todas tus cuentas. Y la mayoría de los usuarios han hecho caso. Han configurado aplicaciones de autenticación, han vinculado sus números de teléfono, han memorizado códigos de seis dígitos que caducan cada treinta segundos. Se han sentido seguros. Pero existe una técnica de ataque sofisticada y relativamente poco conocida que es capaz de saltarse completamente esta protección: el Device Code Phishing.
No se trata de un fallo en el sistema de autenticación en sí mismo. Se trata de un ataque que explota el comportamiento humano y un flujo de autenticación legítimo diseñado para facilitar el inicio de sesión en dispositivos sin teclado. El resultado es devastador: el atacante puede acceder a tu cuenta sin necesitar tu contraseña, sin necesitar tu código de verificación y, lo más aterrador de todo, sin que tú te des cuenta de nada hasta que es demasiado tarde.
¿Qué es el Device Code Phishing?
Para entender este tipo de ataque, primero hay que comprender el protocolo legítimo en el que se basa: el flujo de autorización por código de dispositivo, también conocido como Device Authorization Grant, definido en el estándar OAuth 2.0.
Este mecanismo fue diseñado para permitir que dispositivos con capacidades de entrada limitadas —como televisores inteligentes, consolas de videojuegos, impresoras o dispositivos IoT— puedan autenticarse en servicios en la nube. El proceso funciona de la siguiente manera:
- El dispositivo solicita un código al servidor de autenticación.
- El servidor devuelve un código de usuario (por ejemplo: ABCD-EFGH) y una URL específica.
- El usuario visita esa URL desde otro dispositivo (como su smartphone o su ordenador) e introduce el código.
- El usuario inicia sesión normalmente, incluyendo cualquier método de verificación en dos pasos.
- El dispositivo original recibe un token de acceso válido y queda autenticado.
Este flujo es perfectamente legítimo y muy útil. El problema surge cuando los ciberdelincuentes lo convierten en un arma.
Cómo funciona el ataque paso a paso
El Device Code Phishing es una forma de ingeniería social que manipula al usuario para que sea él mismo quien autorice el acceso del atacante. No hay malware, no hay exploit técnico. Solo engaño.
1. El atacante genera un código de dispositivo
El atacante accede a un servicio legítimo —por ejemplo, Microsoft 365, Google Workspace o cualquier plataforma que soporte OAuth 2.0— y solicita un código de autorización de dispositivo. El sistema le devuelve un código de usuario y una URL de verificación válidos.
2. El phishing entra en escena
A continuación, el atacante envía a la víctima un correo electrónico, un mensaje de WhatsApp, un SMS o incluso un mensaje directo en redes sociales. El mensaje puede hacerse pasar por soporte técnico, recursos humanos, un banco, una administración pública o cualquier entidad de confianza. En el mensaje se pide a la víctima que acceda a una URL legítima (por ejemplo, microsoft.com/devicelogin) e introduzca un código proporcionado.
3. La víctima completa la autenticación
La víctima, sin sospechar nada, visita la URL oficial (que realmente pertenece a Microsoft, Google u otro servicio real), introduce el código y completa el proceso de inicio de sesión, incluyendo su usuario, su contraseña y su segundo factor de autenticación. Todo parece normal, todo es legítimo. No hay ninguna página falsa.
4. El atacante obtiene el token de acceso
En ese momento, el atacante recibe un token de acceso válido con todos los permisos de la víctima. Este token puede durar horas, días o incluso más tiempo, dependiendo de la configuración del servicio. Con él, puede leer correos electrónicos, acceder a documentos, extraer datos, enviar mensajes en nombre de la víctima o moverse lateralmente dentro de una organización.
Por qué el doble factor de autenticación no sirve de nada aquí
Este es el punto más importante y también el más perturbador. El 2FA no falla porque esté mal implementado. Falla porque la propia víctima lo completa voluntariamente como parte del engaño. El atacante no necesita interceptar ningún código OTP, no necesita clonar la tarjeta SIM, no necesita ninguna herramienta especial. Simplemente necesita que tú completes el proceso de autenticación por él.
En ataques convencionales de phishing, los atacantes crean páginas falsas que imitan a las reales. En el Device Code Phishing, la página es completamente real. No hay nada que sospechar desde el punto de vista técnico. La URL es correcta, el certificado SSL es válido, la interfaz es auténtica.
¿Quién es el objetivo de estos ataques?
Aunque cualquier usuario puede ser víctima, los ataques de Device Code Phishing están especialmente dirigidos a:
- Empleados de grandes empresas que utilizan plataformas como Microsoft 365 o Google Workspace.
- Administradores de sistemas con acceso privilegiado a infraestructuras críticas.
- Personal de organizaciones gubernamentales y agencias de seguridad.
- Ejecutivos y directivos con acceso a información confidencial y financiera.
- Profesionales de la salud con acceso a datos médicos protegidos.
Grupos de amenazas avanzadas (APT), incluyendo actores vinculados a estados nacionales, han utilizado esta técnica en campañas de espionaje corporativo y gubernamental. Microsoft Threat Intelligence ha documentado el uso de esta técnica por parte de grupos como Storm-2049 y otros actores de amenaza sofisticados.
Señales de alerta que debes conocer
Reconocer un intento de Device Code Phishing no siempre es sencillo, pero hay algunas señales que deben encender las alarmas:
- Recibes un mensaje urgente pidiéndote que introduzcas un código en una URL de autenticación que no has solicitado tú.
- Alguien te contacta asegurando ser soporte técnico y te pide que valides tu identidad a través de un código de dispositivo.
- El mensaje crea una sensación de urgencia: "Tu cuenta será suspendida en 24 horas", "Hemos detectado actividad sospechosa".
- El código que te piden introducir es del tipo XXXX-XXXX, característico del flujo de autorización de dispositivos.
Cómo protegerse del Device Code Phishing
La protección contra este tipo de ataque requiere una combinación de medidas técnicas y educación en ciberseguridad. Aquí te explicamos las más efectivas:
Nunca introduzcas un código que no hayas solicitado tú
Esta es la regla de oro. Si recibes un mensaje pidiéndote que introduzcas un código de dispositivo en una URL de autenticación, y tú no has iniciado ningún proceso que lo requiera, no lo hagas bajo ningún concepto. No importa quién diga ser la persona que te lo pide.
Desactiva el flujo de Device Code cuando no sea necesario
Los administradores de sistemas pueden configurar políticas de acceso condicional en plataformas como Microsoft Entra ID (Azure AD) para bloquear el flujo de autorización de código de dispositivo para usuarios que no lo necesiten. Esta medida reduce drásticamente la superficie de ataque.
Implementa políticas de acceso condicional
Las organizaciones deben implementar controles como la verificación de ubicación geográfica, la verificación del dispositivo administrado y la detección de comportamientos anómalos para mitigar el impacto de un token comprometido.
Forma y conciencia a los empleados
La formación en ciberseguridad sigue siendo la primera línea de defensa. Los empleados deben conocer la existencia de este tipo de ataque y saber cómo reaccionar ante solicitudes sospechosas de autenticación.
Usa llaves de seguridad físicas (FIDO2)
Los dispositivos de autenticación basados en el estándar FIDO2, como las llaves YubiKey, ofrecen una protección superior porque vinculan la autenticación al dominio específico del servicio. Este tipo de autenticación no puede ser abusada a través del flujo de Device Code de la misma manera.
Conclusión: la ciberseguridad es un proceso, no un estado
El Device Code Phishing es un recordatorio brutal de que ninguna medida de seguridad es infalible por sí sola. El doble factor de autenticación sigue siendo una herramienta valiosa y es mucho mejor que no tenerlo. Pero confiar ciegamente en él es un error que puede costarte caro.
La ciberseguridad efectiva requiere capas de protección, formación continua y, sobre todo, una mentalidad de desconfianza saludable ante cualquier solicitud no esperada. Si alguien te pide que introduzcas un código que tú no has solicitado, para. Piensa. Y, en caso de duda, no lo hagas.
Los atacantes evolucionan constantemente. La única forma de estar realmente protegido es evolucionar con ellos.