6 min de lectura Por Excello Mail Team

DEBULL y ARToken: Kits de Phishing por Código de Dispositivo que Nunca Tocan una Página de Inicio de Sesión Falsa

Dos plataformas de phishing como servicio reveladas en la primera semana de julio de 2026, DEBULL y ARToken, usan el propio flujo de inicio de sesión por código de dispositivo de Microsoft para secuestrar cuentas de Microsoft 365 sin robar ninguna contraseña ni construir una página de inicio de sesión falsa. Una vez dentro, envían correos BEC a través del tenant real y totalmente autenticado de la víctima.

Dos plataformas de phishing como servicio surgieron en la primera semana de julio de 2026, y ninguna de las dos construye una página de inicio de sesión falsa. DEBULL, documentada por investigadores de ZeroBEC, y ARToken, un panel afiliado a la plataforma EvilTokens expuesto por Cisco Talos, dependen ambas de un mecanismo de autenticación legítimo de Microsoft para tomar el control de cuentas de Microsoft 365. No hay ninguna página de robo de credenciales que un equipo de seguridad pueda detectar, ningún dominio similar que marcar, y ninguna contraseña que la víctima escriba en el lugar equivocado. La víctima inicia sesión a través de la experiencia real de Microsoft. El acceso simplemente termina en manos de otra persona.

Cómo Funciona el Phishing por Código de Dispositivo

Ambos kits abusan del Device Authorization Grant de OAuth 2.0, un flujo que Microsoft creó para dispositivos sin navegador ni teclado, como televisores inteligentes o equipos de salas de reunión. La versión legítima le pide al usuario visitar microsoft.com/devicelogin, ingresar un código corto y aprobar el inicio de sesión desde un dispositivo en el que ya confía. Los atacantes reutilizan ese mismo flujo como señuelo: un mensaje con la apariencia de un documento compartido, una invitación de calendario o una solicitud de colaboración lleva al objetivo a esa misma página real de Microsoft, con un código que el backend del atacante generó momentos antes. La víctima ingresa el código y aprueba lo que parece un aviso de inicio de sesión rutinario. Un intermediario del lado del atacante consulta en segundo plano los servidores de Microsoft y recibe el token de acceso resultante en el instante en que la víctima hace clic en aprobar. La autenticación multifactor no detiene esto, porque es la propia víctima quien la completa, en el sitio real de Microsoft, para una sesión en la que el atacante viaja en silencio.

Industrializando la Etapa Posterior al Compromiso

Lo notable de DEBULL y ARToken no es la técnica de código de dispositivo en sí, que los investigadores de seguridad vienen rastreando desde las campañas Storm-2372 reveladas a principios de 2026. Es hasta qué punto cada plataforma automatiza lo que ocurre después de que el token cae en sus manos. DEBULL se construye sobre herramientas derivadas de GraphSpy para post-explotación de Microsoft 365 y Entra ID, lo que le da a los operadores una forma de apuntar y hacer clic para realizar reconocimiento y mantener el acceso una vez dentro de un tenant. ARToken va más allá: Talos encontró un panel de operador basado en React que expone más de 80 endpoints de API que cubren persistencia de Primary Refresh Token, acceso a buzones, exfiltración de SharePoint y un módulo dedicado de compromiso de correo empresarial (BEC). Ese módulo le da a un afiliado acceso de lectura completo al buzón de Outlook de la víctima, la capacidad de enviar correo como la víctima, la capacidad de crear reglas de buzón que reenvían o eliminan mensajes en silencio, y monitoreo por palabras clave en todos los buzones comprometidos a la vez, de modo que un operador que maneja docenas de cuentas recibe una alerta en el momento en que aparece un hilo de factura o transferencia bancaria en cualquiera de ellas. Talos también observó señuelos que abusan de una relación real con un proveedor en lugar de inventar una, suplantando a un contacto de cuentas por pagar de un contratista real para llegar a un destinatario de cuentas por pagar en un cliente real de ese contratista.

Dónde DMARC No Tiene Nada que Añadir

Esta es la misma brecha estructural que hemos descrito antes con los kits de phishing por toma de cuenta, y vale la pena repetirla con precisión porque estas dos plataformas la dejan tan clara. DMARC, SPF y DKIM verifican que un mensaje viajó a través de infraestructura que el propietario del dominio autorizó para enviar en su nombre. Cuando ARToken envía un correo BEC desde un buzón comprometido, lo hace a través de los propios servidores de Exchange Online de Microsoft, usando la sesión válida real de la víctima, bajo el dominio real de la víctima. Cada señal que verifica DMARC es genuina, porque la infraestructura realmente pertenece a la organización del remitente. El flujo de código de dispositivo no falsificó nada de lo que DMARC inspecciona; obtuvo una autorización real y vigente para actuar como la cuenta, y DMARC nunca fue diseñado para preguntar si esa autorización se otorgó bajo un pretexto falso. Un dominio con aplicación estricta de DMARC verá pasar este correo con un resultado limpio, con reportes agregados y todo, porque desde la perspectiva de DMARC nada en el mensaje es inauténtico.

Qué Deben Hacer los Equipos de Seguridad

Restrinja el propio flujo de código de dispositivo. Las políticas de Acceso Condicional pueden bloquear por completo el flujo de autenticación por código de dispositivo para los usuarios que no lo necesiten, que es la mayoría de una organización. Microsoft ha publicado guías para limitar o desactivar este flujo, y eso cierra el punto de entrada del que dependen estos kits en lugar de reaccionar a lo que ocurre después.

Vigile los eventos de inicio de sesión por código de dispositivo. Los registros de inicio de sesión de Entra ID registran las autenticaciones por código de dispositivo de forma distinta a los inicios de sesión interactivos normales. Un aumento en este tipo de autenticación, especialmente en usuarios que nunca lo habían usado antes, es una señal de detección fuerte y específica que antecede a cualquier abuso de correo posterior.

Trate la creación de reglas de buzón como una alerta de alta prioridad. Tanto la post-explotación al estilo DEBULL como al estilo ARToken se apoyan en reglas silenciosas de reenvío y eliminación para ocultar sus huellas. Alertar sobre reglas de buzón nuevas que reenvían hacia afuera o eliminan mensajes automáticamente detecta la etapa de BEC incluso después de que el robo inicial del token tuvo éxito.

Capacite a los usuarios sobre lo que un aviso legítimo de código de dispositivo nunca debería acompañar. Una invitación de calendario o una notificación de documento compartido que luego lleva a una página de ingreso de código de inicio de sesión de Microsoft no es un patrón normal para la mayoría de las herramientas de colaboración. Esa discordancia es el único momento en que un humano todavía puede detectar lo que los protocolos de autenticación no pueden.

La Conclusión

La aplicación de DMARC sigue siendo la base correcta, y todavía detiene el caso mucho más común de un extraño que falsifica un encabezado From sin ningún punto de apoyo en sus sistemas. DEBULL y ARToken son un recordatorio de que la industria ya superó ese caso base. Cuando las plataformas de phishing como servicio empaquetan todo el camino, desde una invitación de calendario falsa hasta un token de sesión funcional y un pago de BEC automatizado, en un solo panel, el correo resultante se autenticará perfectamente, porque no está mintiendo sobre su origen. El compromiso ocurrió un paso antes, en el aviso de inicio de sesión, y ahí es donde las defensas ahora tienen que concentrarse.


Excello Mail le da visibilidad continua sobre sus reportes agregados de DMARC y sus fuentes de envío, para que pueda ver exactamente qué se está autenticando como su dominio y actuar rápido cuando algo se vea mal. Regístrese gratis en Excello Mail para mantener esa visibilidad mientras su equipo cierra brechas como la toma de cuenta por código de dispositivo.