Forg365: El servicio de $400 al mes que secuestra tu correo de trabajo

Forg365, un kit de phishing vendido en Telegram, utiliza IA para suplantar herramientas comerciales conocidas y robar acceso a cuentas de Microsoft 365.

AI2Day Newsdesk· 2 min read
Full-frame edge-to-edge photoreal news-editorial image of a glowing blue search bar floating above a dark server-room aisle, faint data streams leaking sideways
Share

Puntos clave

  • Forg365 es un servicio de phishing ofrecido a $400 por mes a partir de mediados de 2025.
  • El servicio utiliza IA para crear correos electrónicos falsos que imitan herramientas empresariales conocidas.
  • Bloquear la autenticación por código de dispositivo puede reducir la vulnerabilidad a estos ataques.

Ha surgido una nueva amenaza dirigida a correos de trabajo llamada Forg365. Este servicio vende un kit de phishing completo por $400 al mes a través de la aplicación de mensajería Telegram. Según reportó ThreatVectr, Forg365 utiliza inteligencia artificial para crear correos electrónicos falsos que parecen provenir de herramientas empresariales que muchas personas utilizan diariamente, como DocuSign y SharePoint.

El servicio proporciona a los delincuentes todo lo que necesitan para secuestrar una cuenta de Microsoft 365. Esto incluye plantillas de correo electrónico falsas, un panel de control automatizado para gestionar credenciales robadas, e incluso una herramienta que mantiene el acceso abierto mucho después de que la víctima se da cuenta de que algo está mal.

¿Cómo funciona Forg365?

Los ataques de Forg365 comienzan con un correo electrónico falso, frecuentemente fingiendo ser una solicitud de aprobación de documento. Cuando las víctimas hacen clic en el enlace, son dirigidas a través de varias páginas antes de llegar a una de dos trampas.

La primera trampa es un ataque de código de dispositivo, que engaña al usuario para que introduzca un código en una página de inicio de sesión de Microsoft aparentemente genuina. Sin embargo, ingresar el código autoriza una sesión controlada por el atacante. El segundo método es un ataque de intermediario malicioso, donde el servicio retransmite secretamente el inicio de sesión real de la víctima para capturar un token de sesión. Este token permite que el atacante permanezca conectado incluso si la víctima restablece su contraseña.

Los investigadores de seguridad de ZeroBEC encontraron dispositivos denominados

© 2026 AI2Day