password-security-guideINFO

Las passkeys aún pueden ser phishing - durante el registro: el ataque de vishing de Entra (2026)

Las passkeys resisten el phishing al iniciar sesión, pero una campaña de 2026 apunta al registro: atacantes llaman a usuarios de Microsoft 365 y les hacen registrar una passkey controlada por el atacante. Cómo funciona y cómo no caer.

Por Eric Gerard · Editor · PwdFortress4 min de lecturaPhoto via Pexels

Las passkeys son la mejor defensa cotidiana contra el phishing cuando inicias sesión: no hay contraseña que robar, y la credencial está ligada al sitio real, así que una página de inicio falsa no captura nada útil. Pero una campaña que salió a la luz en 2026 muestra a dónde se movió el punto débil. Los atacantes no luchan contra el inicio de sesión - apuntan al registro: llaman a usuarios de Microsoft 365 y les hacen registrar una passkey que controla el atacante. Así funciona, y cómo no caer.

Cómo funciona el ataque

Según BleepingComputer, un actor malicioso lleva llamando a usuarios de Microsoft 365 - phishing de voz, o vishing - desde abril de 2026, haciéndose pasar por TI o seguridad e instándoles a registrar una nueva passkey de Entra "para una mejor protección". Para vender el engaño, se dirige a la víctima a un kit de phishing que imita el flujo de registro auténtico de Microsoft, operado desde un panel controlado por el atacante que guía al objetivo paso a paso y se adapta al método multifactor que use.

El resultado es la trampa: la víctima cree que registra una passkey en su propia cuenta, mientras el atacante registra en realidad una passkey que él controla. Okta, que rastrea al actor como O-UNC-066 (una operación de extorsión que llama Pink), ha informado del mismo grupo apuntando a organizaciones de alimentación y bebidas, tecnología, sanidad, automoción, construcción y aviación.

Una persona preocupada en una llamada telefónica frente a un portátil - los ataques de vishing empiezan con una llamada inesperada que te empuja a actuar rápido.
Una persona preocupada en una llamada telefónica frente a un portátil - los ataques de vishing empiezan con una llamada inesperada que te empuja a actuar rápido.

Por qué las passkeys no detienen esto

Conviene ser preciso sobre qué protegen las passkeys. Al iniciar sesión, una passkey resiste el phishing por diseño: la clave privada nunca sale de tu dispositivo y solo funciona en el dominio auténtico, así que una página de inicio copiada no tiene nada que phishear. Este ataque no toca eso.

El registro es otro momento. Aquí se te pide añadir una credencial, y el objetivo es la decisión humana de seguir adelante, no la criptografía. Si te convencen de completar un registro dirigido por el atacante, las matemáticas funcionaron perfectamente - solo que registraron la clave equivocada. Por eso "resistente al phishing" describe el inicio de sesión, no un registro manipulado socialmente.

Una mano aprobando el desbloqueo de un teléfono con una huella dactilar - el paso de registro, donde una llamada de vishing intenta colar la passkey de un atacante.
Una mano aprobando el desbloqueo de un teléfono con una huella dactilar - el paso de registro, donde una llamada de vishing intenta colar la passkey de un atacante.

El giro: abusa de una función real de Microsoft

Lo que hace tan convincente el pretexto es el momento. En mayo de 2026 Microsoft dio a los administradores la capacidad de lanzar campañas de registro de passkeys - avisos legítimos que animan a los usuarios a registrar una passkey para una autenticación más fuerte. Es una mejora genuina. Pero también significa que los empleados ahora esperan que se les pida configurar una passkey, así que una llamada que dice "necesitamos que registres tu passkey ahora" ya no suena extraña. Una función de seguridad real se convirtió en una coartada lista para usar.

Cómo protegerte

  • Nunca registres una passkey por una llamada entrante. Los equipos de TI reales no te llaman para guiarte en vivo por el registro de una credencial.
  • Registra solo desde una sesión que iniciaste. Escribe la dirección oficial en tu navegador o abre la app oficial tú mismo - no sigas un enlace ni una instrucción dictada por quien llama.
  • Verifica primero. Si recibes una llamada o mensaje diciéndote que registres una passkey ahora, confírmalo por un canal interno conocido antes de hacer nada.
  • Administradores: vigilad los registros de passkeys, alertad sobre credenciales recién añadidas y recordad al personal que los avisos de registro debe iniciarlos el usuario, nunca completarlos en vivo en una llamada no solicitada.

Para tus cuentas personales también

La misma lógica aplica fuera del trabajo. Añade una passkey solo cuando iniciaste la acción en la app auténtica, y guarda tus passkeys reales y códigos de dos factores en un lugar de confianza para saber siempre qué has registrado de verdad. Una llamada de vishing tiene mucho menos con qué trabajar cuando tienes una imagen clara de tus propias credenciales.

En resumen

Las passkeys siguen ganando a las contraseñas, y deberías seguir usándolas - pero "resistente al phishing" describe el inicio de sesión, no el registro. La campaña de vishing de Entra recuerda que el paso humano de añadir una credencial es el nuevo objetivo. Nunca registres una passkey porque alguien te llamó; solo desde un flujo que iniciaste tú.

Preguntas frecuentes

¿Siguen siendo seguras las passkeys tras este ataque?

Sí, para iniciar sesión. Una passkey es un par de claves criptográficas ligado al dominio real del sitio, así que una página de inicio falsa no puede capturar nada reutilizable - esa parte resiste de verdad el phishing. Esta campaña no rompe la criptografía. Apunta a otro momento: el paso de registro, donde se manipula a una persona para que registre la passkey de un atacante. La solución no es desconfiar de las passkeys, sino tener cuidado con cuándo y cómo registras una.

¿Cómo funciona el ataque de vishing de passkeys de Entra?

Según BleepingComputer, un actor malicioso llama por teléfono a usuarios de Microsoft 365 (phishing de voz, o vishing), haciéndose pasar por TI o seguridad, y les insta a registrar una nueva passkey de Entra. Se dirige a la víctima a un kit de phishing que imita el registro real de Microsoft, con un operador que la guía en tiempo real. Mientras la víctima cree que registra su propia passkey, el atacante registra una passkey que él controla - obteniendo acceso persistente a la cuenta.

¿Se puede hacer phishing a una passkey?

No al iniciar sesión. Como la clave privada de una passkey nunca sale de tu dispositivo y está ligada al dominio auténtico, una página de inicio falsa no tiene nada que robar. Lo que sí se puede phishear es el registro: mediante una llamada de vishing y una página de registro clonada, pueden engañarte para añadir una credencial que pertenece al atacante. Por eso la frase honesta es que las passkeys resisten el phishing al iniciar sesión, no en un registro manipulado socialmente.

¿Cómo evito la estafa de registro de passkey?

Nunca registres ni apruebes una passkey por una llamada inesperada. Los equipos de TI legítimos no te llaman para guiarte en vivo por el registro de una credencial. Registra una passkey solo desde una sesión que iniciaste tú, escribiendo la dirección oficial en tu navegador o abriendo la app oficial. Si recibes una llamada o mensaje diciéndote que registres una passkey ahora, verifícalo primero por un canal interno conocido.

¿Por qué se volvió posible este ataque ahora?

En mayo de 2026 Microsoft dio a los administradores una función para lanzar campañas de registro de passkeys - avisos legítimos que animan a los usuarios a registrar passkeys para mayor seguridad. Es un buen cambio, pero también significa que los usuarios ahora esperan que se les pida registrar una passkey, lo que hace más creíble una petición falsa. Los atacantes aprovechan esa expectativa, convirtiendo una mejora de seguridad real en un pretexto listo para usar.