El phishing ha evolucionado más allá del engaño clásico con enlaces maliciosos. Ahora los atacantes explotan la confianza depositada en los propios protocolos de autenticación, como OAuth, para eludir medidas de seguridad que las organizaciones consideran fiables. Un ejemplo reciente es una plataforma de phishing como servicio que logró comprometer cientos de cuentas corporativas en Microsoft 365 mediante un flujo de consentimiento: la víctima recibe un código, lo introduce en device-login y completa su MFA habitual, pero en realidad otorga permisos a una aplicación maliciosa. Este tipo de ataque no roba credenciales directamente sino que consigue que el usuario autorice un acceso persistente, haciendo que la autenticación multifactor sea irrelevante. Las empresas necesitan entender que la ciberseguridad moderna debe ir más allá de instalar un antivirus o activar MFA; requiere una vigilancia continua de los consentimientos OAuth y de las aplicaciones conectadas a sus entornos cloud. En Q2BSTUDIO ofrecemos servicios especializados en ciberseguridad y pentesting que ayudan a identificar este tipo de vectores de ataque y a fortalecer las políticas de acceso. Además, desarrollamos aplicaciones a medida que integran controles de seguridad desde el diseño, evitando vulnerabilidades como las que explotan estos esquemas. La inteligencia artificial también juega un papel creciente en la detección temprana de anomalías en los flujos de autenticación, y en Q2BSTUDIO trabajamos con ia para empresas y agentes IA capaces de analizar patrones de comportamiento y alertar sobre solicitudes de consentimiento sospechosas. Asimismo, gestionamos servicios cloud aws y azure implementando controles de identidad y acceso granulares, y ofrecemos servicios inteligencia de negocio con power bi para visualizar y auditar los permisos otorgados en tiempo real. La clave está en adoptar un enfoque proactivo: no basta con confiar en que MFA lo soluciona todo; hay que revisar periódicamente qué aplicaciones tienen acceso a los datos corporativos y educar a los usuarios para que no confundan un código de verificación con una autorización definitiva. Solo así se puede cerrar la brecha que este nuevo clic de phishing ha abierto.

.jpg)
