microsoft.com/devicelogin, lo que autoriza el cliente del atacante) Una extensión de navegador complementaria, ForgCookie, es compatible con Chrome, Edge y Brave . Una vez que se capturan los tokens de sesión o las cookies de la víctima, ForgCookie renueva automáticamente las cookies de sesión robadas, lo que permite al atacante mantener el acceso a los servicios de Microsoft 365 (Outlook, Teams, OneDrive, SharePoint) sin necesidad de reautenticarse, incluso después de que la víctima cambie su contraseña
. Esto convierte una captura única de token en un compromiso persistente a largo plazo.
Divulgado por ReliaQuest y BleepingComputer el 14 de julio de 2026, Jalisco es un kit de phishing de código de dispositivo activamente utilizado contra cuentas de Microsoft 365 . Funciona de la siguiente manera:
Esto significa que el MFA no se "rompe", sino que se "arma".
También reportado el 14 de julio de 2026, OmegaLord adopta un enfoque diferente: se hace pasar por una página de navegador de un lector PDF falso . Cuando las víctimas llegan a la página:
Múltiples fuentes confirman una tendencia más amplia en la industria:
La visión crítica en todas estas amenazas es que el MFA no se derrota técnicamente, sino que se cooptan:
| Técnica | Qué Ocurre | Por Qué el MFA No Lo Detiene |
|---|---|---|
| Phishing de código de dispositivo | La víctima introduce el código del atacante en la página de inicio de sesión real de Microsoft y completa su propio MFA | El token va a la aplicación del atacante. El MFA aprobó al usuario correcto, pero para el cliente equivocado. |
| Proxy AiTM | La víctima inicia sesión a través del proxy del atacante, el MFA se completa con normalidad | El atacante captura la cookie de sesión en tiempo real y secuestra la sesión. |
| Cosecha de credenciales + OTP | Un formulario de inicio de sesión falso captura la contraseña y el OTP simultáneamente | El OTP es utilizado inmediatamente por el atacante antes de que expire. |
Basándose en múltiples avisos, se recomiendan encarecidamente las siguientes mitigaciones:
devicecode).offline_access, Mail.Read o Files.ReadWrite.All.Estas recomendaciones proceden del PSA del FBI , el blog de seguridad de Microsoft
, BleepingComputer
y el análisis de amenazas de ReliaQuest
.
La oleada de 2026 de phishing contra Microsoft 365 —liderada por Forg365 (con su extensión de persistencia ForgCookie), Jalisco, OmegaLord y el ecosistema más amplio de kits de código de dispositivo y AiTM— representa un cambio de paradigma. Los atacantes ya no necesitan robar contraseñas ni romper el MFA. En su lugar, abusan del modelo de confianza de OAuth para que la propia autenticación de la víctima autorice una sesión controlada por el atacante. La recomendación unánime de la comunidad de seguridad es adoptar una postura de confianza cero: deshabilitar los flujos de autenticación no utilizados, imponer el Acceso Condicional, supervisar las concesiones de tokens y avanzar hacia un MFA resistente al phishing .