Hackers vinculados a los servicios de inteligencia rusos han lanzado una campaña global para obtener acceso no autorizado a cuentas de aplicaciones de mensajería cifrada como Signal, según advirtieron el FBI y la Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA) en un comunicado conjunto emitido el viernes. Las agencias informaron que miles de cuentas se han visto comprometidas, pero evitaron dar detalles sobre los casos específicos.
Las autoridades estadounidenses alertan que la ofensiva se centra en usuarios considerados de “alto valor de inteligencia”, entre ellos funcionarios gubernamentales actuales y anteriores, personal militar, figuras políticas y periodistas. El FBI y la CISA detallaron que los hackers no vulneran el cifrado de las aplicaciones, sino que aprovechan técnicas de ingeniería social para engañar a los usuarios y así obtener acceso a sus cuentas. Esta estrategia ha permitido a los atacantes leer mensajes, acceder a listas de contactos, suplantar a las víctimas y lanzar nuevos ataques de suplantación desde cuentas aparentemente confiables.
La campaña se apoya principalmente en dos métodos de ataque. El primero abusa de la función de “dispositivo vinculado” de las aplicaciones: los hackers se hacen pasar por contactos de confianza y envían enlaces o códigos QR maliciosos. Si la víctima interactúa con ellos, el atacante puede vincular su propio dispositivo a la cuenta y mantener acceso continuo sin alertar de inmediato al usuario. El segundo método implica la toma total de la cuenta, donde los destinatarios reciben mensajes que aparentan ser notificaciones oficiales de soporte y les solicitan códigos de verificación o credenciales de autenticación en dos pasos. Al entregar esta información, las víctimas pierden el control total de su cuenta.
El director del FBI, Kash Patel, subrayó en un comunicado público que la vulnerabilidad no reside en las aplicaciones, sino en la forma en que los usuarios responden a los intentos de phishing, cada vez más sofisticados. Patel afirmó que el FBI “ha identificado actores cibernéticos asociados a los Servicios de Inteligencia Rusos que apuntan a usuarios de aplicaciones comerciales de mensajería, incluyendo Signal”. Añadió que “globalmente, este esfuerzo ha resultado en accesos no autorizados a miles de cuentas individuales” y que, tras obtener acceso, los atacantes pueden ver mensajes, listas de contactos y realizar campañas de phishing adicionales desde una identidad confiable.
Los mensajes de phishing utilizados en la campaña suelen simular alertas de seguridad legítimas, advirtiendo de intentos sospechosos de inicio de sesión o pidiendo completar procesos de verificación. Este tipo de mensajes busca generar una sensación de urgencia que anule la cautela del usuario.
El FBI y la CISA insistieron en que no existen fallos técnicos en la protección criptográfica de las aplicaciones, y que los ataques no comprometen el cifrado, sino que explotan el comportamiento humano. Simone Smit, directora general del Servicio General de Inteligencia y Seguridad (AIVD) de Países Bajos, respaldó esta postura al afirmar que “no es el caso que Signal o WhatsApp hayan sido comprometidas en su conjunto. Las cuentas de usuarios individuales están siendo atacadas”.
Signal reconoció la campaña el 9 de marzo, recordando que su cifrado y su infraestructura permanecen robustos. “Estos ataques se ejecutaron mediante campañas de phishing sofisticadas, diseñadas para engañar a los usuarios y lograr que compartan información —códigos SMS y/o PIN de Signal— para acceder a las cuentas”, publicó la plataforma.
Funcionarios estadounidenses y europeos recomendaron a los usuarios reforzar sus medidas de higiene digital: nunca compartir códigos de verificación, examinar cuidadosamente mensajes inesperados y verificar solicitudes de información por canales alternativos. También aconsejaron revisar periódicamente la configuración de las cuentas, activar funciones de seguridad adicionales y reportar cualquier incidente sospechoso. El FBI instó a informar de cualquier compromiso a su Centro de Quejas de Delitos en Internet (IC3) o a una oficina local.
Tanto el FBI como la CISA alertaron que los atacantes podrían incorporar nuevas tácticas, como el uso de malware, por lo que la vigilancia constante es esencial.