Alertan sobre ciberataques de robo de cuenta en Signal y WhatsApp vinculados a piratas informáticos del Gobierno ruso

El informe elaborado por los servicios de inteligencia neerlandeses destaca que los actores implicados en estos ciberataques emplean técnicas que, una vez obtenido el control de las cuentas, les permiten cambiar el número de teléfono asociado y modificar los parámetros de seguridad, impidiendo a las víctimas recuperar el acceso normal a sus perfiles en aplicaciones de mensajería como Signal y WhatsApp. Esta dinámica ha sido identificada específicamente en ataques focalizados contra empleados gubernamentales, periodistas y personal militar en diversos países, según expuso el Servicio de Inteligencia y Seguridad de Defensa (MIVD) junto al Servicio General de Inteligencia y Seguridad (AIVD) de los Países Bajos. La alerta emitida subraya la amplitud de esta actividad, que los servicios califica como una campaña de carácter global que afecta especialmente a perfiles considerados de alto interés estratégico para el Gobierno ruso.

De acuerdo con la información reunida por los servicios neerlandeses, los operadores vinculados al gobierno ruso aprovechan estrategias de ingeniería social y ‘phishing’ para sortear los sistemas de seguridad de las cuentas de mensajería instantánea. Tal como consignó el medio, los ciberatacantes utilizan enlaces falsos o códigos QR fraudulentos para persuadir a las víctimas a iniciar sesión en un nuevo dispositivo o a unirse a grupos aparentemente legítimos. A través de estos mecanismos, los atacantes logran apropiarse del control de la cuenta, lo que les otorga acceso a la lista de contactos y a las conversaciones almacenadas, tanto en chats personales como grupales.

Según el informe difundido, además de los métodos tradicionales de engaño, los hackers estatales simulan organizaciones legítimas dentro de las propias plataformas, como el ‘chatbot’ de soporte técnico. En el caso de Signal, los ciberdelincuentes se hacen pasar por el personal de asistencia de la aplicación y remiten mensajes personalizados en los que aseguran haber detectado “actividades sospechosas” en la cuenta de la víctima. Como medida de prevención, solicitan un código de verificación recibido por SMS y el PIN de la cuenta. Cuando el usuario entrega esta información, los atacantes pueden tomar control total del perfil y modificar los elementos de recuperación, según detalló la inteligencia neerlandesa.

El avance de estos ataques genera preocupación entre los organismos de seguridad, pues permite a los atacantes recibir y revisar la totalidad de la información compartida por las víctimas, incluidos documentos, imágenes y conversaciones sensibles que pudieran comprometer operaciones estatales o investigaciones periodísticas. Además, los perpetradores pueden integrarse en los chats grupales que gestionan asuntos delicados, con acceso a numerosas redes de contactos de alto perfil, explicó el informe divulgado por el MIVD y el AIVD.

Ante este escenario, los servicios de inteligencia de Países Bajos recomiendan a empleados gubernamentales y usuarios de alto rango evitar el uso de aplicaciones de mensajería instantánea para el envío de datos sensibles o confidenciales. Entre las medidas propuestas figuran la verificación periódica de los dispositivos activos en la cuenta, el rechazo de todo mensaje inesperado relacionado con supuestos problemas de seguridad y la negativa a compartir cualquier código recibido por SMS. Asimismo, se aconseja evitar el escaneo de códigos QR que no provengan de fuentes oficiales y hacer uso de los mensajes temporales, lo que permite eliminar de forma automática las conversaciones y reducir los riesgos de exposición.

El medio que reúne estas advertencias recogió también la respuesta pública de Signal. En publicaciones realizadas en la plataforma Bluesky, la aplicación enfatizó que “tu código de verificación por SMS de Signal solo es necesario al registrarte por primera vez en la aplicación”. Considerando el incremento de ataques basados en técnicas de ‘phishing’, Signal señala que recuerda activamente a sus usuarios que nunca compartan ni su código SMS ni su PIN con terceros, con el objetivo de dificultar los intentos de suplantación y robo de identidad. Añadió que tanto su infraestructura como el cifrado permanecen intactos y no han sido vulnerados: estos episodios derivan exclusivamente de la manipulación de los usuarios a través de engaños, por lo que la seguridad técnica no se ha visto directamente comprometida.

En el caso de WhatsApp, la reacción de la empresa se produjo a través de su portavoz, Zade Alsawah, en declaraciones al portal TechCrunch recopiladas por los servicios neerlandeses. Alsawah indicó que la plataforma aconseja no compartir nunca el código de seis dígitos de verificación ni prestar atención a solicitudes sospechosas recibidas por cualquier vía de contacto. WhatsApp remite además a los usuarios a su centro de ayuda, donde se exponen los pasos para identificar intentos de engaño y enlaces potencialmente peligrosos.

Como señalaron tanto los servicios neerlandeses como los portavoces de las aplicaciones, el foco de las campañas detectadas apunta prioritariamente a personas con acceso a información estratégica, aunque las recomendaciones de seguridad resultan pertinentes para cualquier usuario habitual de mensajería instantánea. Las acciones descritas buscan mitigar la capacidad de entornos estatales extranjeros de interceptar datos confidenciales y asegurar la integridad de las comunicaciones digitales en entornos oficiales y privados.