Entra ID Device Code Phishing
Microsoft device-code flow está pensado para TVs y dispositivos sin teclado.
Categoría: Cloud (AWS · Azure · GCP) 🎯 Trinchera — Microsoft device-code flow está pensado para TVs y dispositivos sin teclado. El atacante inicia el flow, manda el código por email/SMS, la víctima lo introduce en microsoft.com/devicelogin → atacante recibe token + refresh token + Primary Refresh Token (PRT). 🔗 Kill chain —roadtx devicecode -c <client> →
phishing → roadtx interactiveauth → roadtx prtenrich →
PRT activo. Storm-2372 y campañas AI-enabled (abril 2026)
lo usan masivo.
📡 Huella defensiva — Sign-in logs Entra con
AuthenticationProtocol=DeviceCode, IPs anómalas, agentes raros.
⚠️ Falso amigo — El ataque es legítimo desde el punto de vista
del flujo OAuth — sólo es phishing del input.
🛡️ Remediación — Conditional Access bloqueando device code
para usuarios que no lo necesitan; políticas que requieran
compliant device.
← Volver al glosario completo Última actualización: 2026-06-11