Noticias
Phishing con IA a cuentas de Microsoft 365: apareció Forg365 y te roba la cuenta con el doble factor puesto
El phishing con IA a cuentas de Microsoft 365 acaba de subir un escalón: apareció Forg365, una «fábrica de phishing» que arma los señuelos con inteligencia artificial y te roba la cuenta aunque tengas el doble factor activado. No adivina tu contraseña — te roba la sesión ya iniciada. Y no está solo: es la punta de un cluster de ataques que esta semana apuntaron todos al mismo lugar, tu cuenta de Microsoft.
En esta nota:
- Qué es Forg365
- Cómo te roba la cuenta con el MFA puesto
- No es solo Forg365: el asedio a tu cuenta
- Por qué el doble factor ya no alcanza
- ¿Y esto qué significa para vos?
- Preguntas frecuentes
Lo destapó la firma de seguridad de email ZeroBEC y lo reportó BleepingComputer. La receta impresiona por lo aceitada que está: cada eslabón —del señuelo al robo— vive en el mismo panel.
Qué es Forg365: phishing con IA a cuentas de Microsoft 365, en modo «servicio»
Forg365 es una plataforma de Phishing-as-a-Service (PhaaS): no la usa un genio del mal en un sótano, sino cualquiera que pague la suscripción. Su diferencial es que la generación de los correos-señuelo con IA está integrada al mismo panel que maneja el robo — el operador arma la carnada y cosecha las cuentas desde el mismo tablero. Según CyberPress, se alquila con una prueba gratis de 5 días y después US$ 400 por mes (o US$ 3.800 al año) — precio internacional de referencia. El crimen organizado también tiene su modelo SaaS. Y le suma un toque extra de veneno: «ForgCookie», una extensión de navegador que reproduce los tokens robados y mantiene la sesión viva incluso después de que la víctima cambia la contraseña.
| Dato | Detalle |
|---|---|
| Qué es | Plataforma de Phishing-as-a-Service (PhaaS) que ataca cuentas de Microsoft 365 |
| La vuelta de tuerca | Genera los señuelos con IA desde el mismo panel del operador — phishing «llave en mano» |
| Cómo roba | Device-code phishing + proxy Adversary-in-the-Middle (AiTM): se queda con tu sesión, no con tu contraseña |
| Extra | «ForgCookie», una extensión de navegador que mantiene viva la sesión robada — sobrevive hasta a un cambio de contraseña |
| Precio | Prueba gratis 5 días · US$ 400/mes · US$ 3.800/año (CyberPress) |
| Quién lo descubrió | La firma de seguridad de email ZeroBEC |
Cómo te roba la cuenta con el MFA puesto
Acá está la parte clave, la que explica por qué el doble factor deja de alcanzar. Forg365 combina dos técnicas:
- Device-code phishing: abusa de un flujo legítimo de Microsoft, el mismo que usás para loguear una smart TV o una consola (los técnicos lo llaman «device authorization grant»). El atacante te muestra una página de verificación con pinta oficial y te hace ingresar un código en la página REAL de Microsoft — sin querer, autorizás el dispositivo del atacante.
- Adversary-in-the-Middle (AiTM): un proxy se sienta entre vos y Microsoft y, cuando te logueás de verdad —contraseña y doble factor incluidos—, captura la cookie de sesión. Con esa cookie, el atacante entra a tu cuenta como si fueras vos. Ya autenticado. Sin necesidad de tu contraseña ni de tu MFA.
Por eso la advertencia oficial de Microsoft es tan seca: «los ataques AiTM interceptan el tráfico de autenticación en tiempo real, salteando el MFA que no es resistente a phishing». Si querés ver la mecánica en 5 minutos, la firma de seguridad Huntress lo explica bárbaro:
No es solo Forg365: el asedio a tu cuenta de Microsoft
Forg365 no es un caso aislado: es parte de una ola. La misma semana, BleepingComputer reportó otros dos ataques que apuntan al mismo blanco por vías distintas — y todos empiezan con una llamada o un correo, no con un exploit:
| Ataque | Cómo entra | Qué busca |
|---|---|---|
| Forg365 | Correo con señuelo de IA → device-code + AiTM | Robar la sesión de tu cuenta M365 |
| Helix | Vishing: te llaman haciéndose pasar por tu gerente (con el número falsificado) y te guían a un device-code phishing | Robar datos de SharePoint y extorsionar |
| Vishing de passkeys | Te llaman como «personal de seguridad» y te hacen inscribir una passkey… que en realidad es del atacante | Quedarse con un acceso permanente a tu cuenta |
El patrón es clarísimo: la puerta de entrada ya casi nunca es un virus. Es ingeniería social — un correo convincente o una llamada bien actuada — apuntada a que vos mismo abras la puerta. Helix, según ReliaQuest, hasta «registra rápido una nueva app de MFA para mantener la persistencia»: te roban el acceso y encima se anotan su propio doble factor para no perderlo.
Por qué el doble factor ya no alcanza (los números)
Durante años el mantra fue «activá el doble factor y quedate tranquilo». Sigue siendo la base — pero contra estos ataques, el MFA por SMS o por app de códigos ya no es suficiente, porque el atacante roba la sesión DESPUÉS de que pusiste el código. Los números de Microsoft ponen la escala en perspectiva:
| Método de protección | ¿Frena a Forg365 y compañía? |
|---|---|
| Contraseña sola | ❌ No — el 99%+ de los ataques de identidad son contra contraseñas (Microsoft) |
| MFA por SMS o app de códigos | ⚠️ Ayuda, pero el AiTM lo saltea robando la sesión ya autenticada |
| Passkeys / FIDO2 / Windows Hello | ✅ Resistente a phishing: el método está atado criptográficamente al sitio real (Microsoft Learn) |
| Antivirus con protección web | ⚠️ Capa útil: bloquea los sitios de phishing ya reportados, no un proxy recién montado |
Para dimensionar: una sola campaña AiTM contra Microsoft 365 golpeó a más de 35.000 usuarios en 13.000 organizaciones de 26 países en apenas 3 días (14 al 16 de abril de 2026), según Microsoft. Esto es escala industrial.
Hay un matiz técnico que un usuario resumió mejor que muchos manuales, comentando esta clase de ataque en Hacker News:
Microsoft esconde la defensa contra este vector de phishing —conocido y potente— detrás de una licencia paga aparte. No podés bloquear de forma confiable el flujo de device code de Entra sin pagar Entra ID Premium P1. Ni los gestores de contraseñas ni las llaves FIDO te van a salvar, porque la autenticación ocurre en los servidores de Microsoft.buccal, comentando el device-code phishing en Hacker News (mayo 2026, traducido)
Traducido: contra el device-code phishing puntual ni siquiera las passkeys alcanzan solas — ahí la defensa es desactivar ese flujo, algo que Microsoft recomienda «siempre que sea posible». La seguridad no se resuelve con un solo clic.
¿Y esto qué significa para vos?
Bajemos a lo accionable, que es lo que importa. Tengas una cuenta de Microsoft personal o del trabajo, cuatro cosas concretas:
- Activá passkeys donde puedas (Microsoft, Google, tu banco): son lo único que resiste de verdad el AiTM. El SMS sigue siendo mejor que nada, pero apuntá a passkey.
- Desconfiá de la urgencia: «inscribí esta passkey obligatoria ya», «ingresá este código», «soy de seguridad y necesito que…». La prisa es la herramienta número uno del atacante.
- Ojo con las extensiones de navegador: ForgCookie es una extensión. No instales nada que no venga de una fuente que conozcas.
- Sumá capas: no morder el anzuelo es la primera línea, y ahí un antivirus con protección web te avisa cuando un sitio ya está reportado como fraudulento.
Sobre ese último punto, seamos honestos: ningún antivirus frena un proxy AiTM recién levantado —eso lo frenan las passkeys y desactivar el device-code flow—. Pero la mayoría del phishing que te va a llegar no es de élite: son señuelos masivos que ya están reportados. Ahí una solución con protección web y anti-phishing te frena el sitio antes de que metas un solo dato — una capa más en una defensa que, como vimos, tiene que tener varias. Y si venís de leer cómo Windows te identifica de formas que no imaginabas, ya sabés que la privacidad y la seguridad hoy se juegan en los detalles.
Preguntas frecuentes sobre el phishing a cuentas de Microsoft 365
¿Qué es Forg365?
Es una plataforma de Phishing-as-a-Service que ataca cuentas de Microsoft 365. Genera los correos-señuelo con inteligencia artificial y roba la sesión de la víctima combinando device-code phishing y un proxy Adversary-in-the-Middle, que le permite entrar a la cuenta aunque el usuario tenga el doble factor activado. La descubrió la firma ZeroBEC.
¿El doble factor (MFA) me protege de este ataque?
No del todo. El MFA por SMS o por app de códigos ayuda, pero estos ataques roban la cookie de sesión después de que ya te autenticaste, así que el segundo factor no alcanza. La defensa que sí resiste son las passkeys o llaves FIDO2, atadas criptográficamente al sitio real: no funcionan en una página falsa.
¿Un antivirus me protege del phishing con IA?
En parte. Un antivirus con protección web y anti-phishing bloquea los sitios fraudulentos ya reportados, que son la mayoría del phishing masivo. No frena un proxy AiTM recién montado ni el device-code phishing: para eso hacen falta passkeys y desconfiar de la urgencia. Es una capa útil, no la única.
¿Cómo sé si mi cuenta de Microsoft 365 fue comprometida?
Señales de alarma: reglas nuevas en tu buzón que no creaste, inicios de sesión desde dispositivos o países desconocidos, o una app de autenticación nueva que no registraste. Ante la duda, cambiá la contraseña, revocá las sesiones activas desde la configuración de tu cuenta y revisá los dispositivos autorizados.
🛒 Te puede servir
¿Ya te llegó un correo así? Contá tu caso en los comentarios ⬇️
Sumá una capa: protección web contra el phishing →