Durante mucho tiempo, el phishing fue relativamente fácil de entender.

Un correo sospechoso, un enlace extraño, una página que imitaba un login. El objetivo era claro: robar credenciales.

Y aunque sigue ocurriendo, algo cambió.

Hoy, los ataques ya no necesitan engañar al usuario para que entregue su contraseña. En muchos casos, ni siquiera necesitan que la revele.

Les basta con que inicie sesión.

Un ataque que parece completamente normal

Hace algunas semanas, investigadores detectaron una campaña que ya ha afectado a cientos de organizaciones que utilizan Microsoft 365 en distintos países.

Lo más inquietante no es el alcance.

Es la forma.

Todo comienza con algo que no parece un ataque. Un correo bien construido, un contexto creíble, una acción simple. El usuario es dirigido a una página legítima, sin señales evidentes de fraude.

No hay errores visuales.
No hay dominios sospechosos.
No hay nada que, a simple vista, active una alerta.

Solo una instrucción: iniciar sesión.

Y el usuario lo hace.

Cuando iniciar sesión deja de ser seguro

Aquí es donde el ataque cambia las reglas.

En lugar de robar la contraseña, los atacantes utilizan un flujo legítimo de autenticación diseñado para facilitar el acceso desde distintos dispositivos.

El usuario ingresa, valida su identidad, incluso completa el doble factor.

Todo funciona exactamente como debería.

Pero en ese mismo proceso, sin que lo sepa, está entregando algo mucho más valioso que su contraseña: una sesión válida.

Desde ese momento, el atacante ya no necesita forzar nada.
No necesita volver a engañar al usuario.
No necesita romper la seguridad.

Simplemente entra.

El problema es que nada parece estar mal

Este tipo de ataque rompe una de las ideas más instaladas en ciberseguridad: que el peligro se puede ver.

Porque aquí no hay señales claras.

El acceso ocurre desde plataformas legítimas.
Los sistemas no detectan necesariamente un comportamiento anómalo inmediato.
Y para el usuario, todo fue parte de un proceso normal.

Incluso cambiar la contraseña puede no ser suficiente.

Porque el acceso ya no depende de ella.

El nuevo foco: la identidad

Lo que estamos viendo no es solo una técnica nueva.

Es un cambio de enfoque.

Los atacantes ya no están intentando entrar por la fuerza. Están utilizando las mismas puertas que usan los usuarios… pero con otro objetivo.

La identidad se transforma en el punto más crítico.

Y cuando esa identidad es validada, aunque haya sido bajo engaño, el acceso se vuelve difícil de distinguir de uno legítimo.

Ese es el verdadero desafío.

Una seguridad que ya no puede ser estática

Frente a este tipo de amenazas, la lógica tradicional comienza a quedarse corta.

No basta con proteger el acceso inicial.
No basta con confiar en que un login válido es seguro.

Hoy, la seguridad necesita ir más allá.

Debe ser capaz de observar el contexto, el comportamiento, la coherencia de cada acceso. Entender no solo si alguien puede entrar, sino si realmente debería estar ahí.

Porque cuando el ataque no se ve como un ataque, la única defensa es cuestionar lo que parece normal.

El phishing no desapareció.

Evolucionó.

Pasó de robar contraseñas a capturar sesiones, utilizando procesos legítimos y reduciendo al mínimo las señales de alerta.

Y eso cambia completamente el escenario.

Porque en un entorno donde todo parece correcto, la seguridad ya no puede depender únicamente de detectar lo incorrecto.

Tiene que validar constantemente lo que parece estar bien.