Ana abre su correo un lunes.

Un aviso de beneficios de fin de año luce legítimo, con enlaces seguros y branding conocido.

Al hacer clic, el portal de inicio de sesión parece el de siempre; incluso aparece un pop‑up pidiendo aprobar el MFA.

Sin sospechar, selecciona “Aceptar”.

Al otro lado, un grupo APT —paciente, metódico— celebra: no rompieron tu criptografía; infiltraron tu rutina.

Su truco se llama website‑over‑website: una superposición HTML/CSS que imita la ventana de autenticación y se integra con scripts o add‑ins para capturar tu segundo factor mientras un proxy reenvía todo al servicio real.

Así, la sesión nace válida… pero en el dispositivo del atacante.

Las campañas Adversary‑in‑the‑Middle (AiTM) han evolucionado para burlar MFA capturando cookies de sesión y tokens cuando el usuario inicia en portales que lucen idénticos a Microsoft 365 u Okta.

El flujo se ve normal, el candado del navegador está “verde” y el pop‑up “de confianza” te pide confirmar.

Resultado: acceso completo sin volver a pedir MFA.

En operaciones sostenidas por APTs, este acceso inicial rara vez es el final.

Con esa sesión, los actores mueven ficha con sigilo: lectura de correo, cambio de reglas, BEC (fraude por correo corporativo), y despliegue de puertas traseras para persistir semanas.

Los kits y marcos públicos (como Evilginx) abaratan la logística del ataque y permiten una superposición dinámica casi indistinguible del portal original.

¿Por qué es peligroso para cualquiera, incluso gente atenta?

1. Imitación perfecta: El overlay replica diseño, scripts y comportamiento del sitio auténtico.

2. Si ceden tu MFA, entran igual: El adversario recibe la sesión directa, no necesita tu contraseña otra vez.

3. Se combina con MFA fatigue: te bombardean con solicitudes hasta que apruebas por cansancio.

Los equipos de ciberdefensa ya advierten que la identidad es el campo de batalla: los atacantes “inician sesión” explotando confianza y flujos de recuperación, más que rompiendo firewalls.

La respuesta incluye MFA resistente al phishing (FIDO/WebAuthn), protección de tokens, y detección continua de anomalías de identidad.

Cómo blindarte

• Sospecha del contexto: ¿tú iniciaste el acceso? Si no, no apruebes.

• Usa llaves físicas FIDO2/WebAuthn en cuentas críticas; SMS y push son más vulnerables al relay y a “fatigue”.

• Activa protecciones de sesión y políticas de token (p. ej., en Microsoft Entra).

• Verifica la URL y dominio en cada MFA/consentimiento; los looks‑alike son parte del guion APT.

Hashtags: #CyberSecurity #PhishingProtection #IdentitySecurity #MFA #ZeroTrust #AiTM #ThreatIntelligence

Fuentes: Microsoft Community Hub — Defeating Adversary‑in‑the‑Middle phishing attacks (Microsoft Entra)https://techcommunity.microsoft.com/blog/microsoft-entra-blog/defeating-adversary-in-the-middle-phishing-attacks/1751777 | Sophos X‑Ops — Stealing user credentials with Evilginxhttps://www.sophos.com/en-us/blog/stealing-user-credentials-with-evilginx | Sekoia.io — Global analysis of Adversary-in-the-Middle phishing threatshttps://blog.sekoia.io/global-analysis-of-adversary-in-the-middle-phishing-threats/ | SecurityWeek — Five Cybersecurity Predictions for 2026: Identity, AI, and the Collapse of Perimeter Thinkinghttps://www.securityweek.com/five-cybersecurity-predictions-for-2026-identity-ai-and-the-collapse-of-perimeter-thinking/ | CISA (guía de phishing) — Phishing Guidance: Stopping the Attack Cycle at Phase Onehttps://www.cisa.gov/sites/default/files/2025-03/Phishing%20Guidance%20-%20Stopping%20the%20Attack%20Cycle%20at%20Phase%20One%20508.pdf