Nueva oleada de phishing para robar cuentas de WhatsApp y Signal vinculada a grupos rusos

Trucoteca » Otros » Nueva oleada de phishing para robar cuentas de WhatsApp y Signal vinculada a grupos rusos

Los servicios de Inteligencia europeos han encendido las alarmas ante una nueva ola de ataques de phishing dirigida a usuarios de WhatsApp y Signal. Esta campaña, atribuida a piratas informáticos vinculados al Gobierno ruso, se centra en robar cuentas para acceder a conversaciones privadas, contactos y grupos de chat.

El trasfondo es especialmente preocupante porque las víctimas principales son militares, funcionarios y periodistas, es decir, personas con acceso a información sensible. Aunque el foco está en perfiles de alto interés para Moscú, cualquier usuario de estas aplicaciones de mensajería puede acabar cayendo en la trampa si no extreman las precauciones.

Alerta de los servicios de Inteligencia en Europa

El Servicio de Inteligencia y Seguridad de Defensa (MIVD) y el Servicio General de Inteligencia y Seguridad (AIVD) de Países Bajos han publicado un informe conjunto sobre una cibercampaña global de vulnerabilidades informáticas que tiene como objetivo cuentas de WhatsApp y Signal. Según detallan, se trata de operaciones sostenidas en el tiempo y muy dirigidas contra personas de interés estratégico para Rusia.

En ese documento se explica que el ataque no va contra la infraestructura de las aplicaciones, sino contra los propios usuarios mediante técnicas de ingeniería social. Es decir, los delincuentes no «rompen» el cifrado, sino que engañan a la víctima para que sea ella misma quien les abra la puerta.

Los servicios neerlandeses destacan que los objetivos incluyen empleados de la administración pública, personal militar y periodistas, pero también cualquier persona cuyo entorno pueda tener valor estratégico. Los chats de grupos profesionales, de trabajo o de activistas resultan especialmente atractivos para estos actores.

Las campañas se han detectado en distintos países, principalmente en Europa, aunque la dimensión es claramente internacional. El gancho suele llegar por mensajería, SMS o incluso a través de contactos previamente comprometidos, lo que aumenta la credibilidad del engaño.

Una vez consiguen acceso, los atacantes pueden leer las conversaciones, ver los números de teléfono de los contactos y moverse por los grupos en los que participan las víctimas, lo que abre la puerta a nuevas fases de espionaje o incluso a futuras estafas.

Cómo funciona el phishing para robar cuentas de WhatsApp y Signal

Los especialistas en ciberseguridad consultados por los servicios de Inteligencia han identificado dos grandes vías de ataque para tomar el control de las cuentas en WhatsApp y Signal. En ambos casos, la clave está en lograr que el usuario entregue información que debería ser secreta.

El primer método es el secuestro directo de la cuenta mediante códigos SMS o PIN. Los atacantes se hacen pasar por el soporte técnico de la aplicación, por un chatbot de seguridad o por el sistema automático de verificación. La víctima recibe un mensaje en el que se le alerta de supuestas «actividades sospechosas» o de una posible fuga de datos.

Para «solucionar» el problema, se indica al usuario que facilite el código de verificación recibido por SMS, e incluso el PIN de seguridad asociado a su cuenta. En el caso de Signal, se ha detectado que los delincuentes piden ambos datos: el código que llega por mensaje de texto y el PIN, que sirve como sistema adicional de protección y recuperación de la cuenta.

Cuando la víctima comparte esa información, los atacantes registran la cuenta en un dispositivo móvil que controlan ellos, cambian el número al que se envían los códigos de verificación y expulsan al usuario legítimo. A partir de ese momento, tienen el control total del perfil, pueden leer los nuevos mensajes y participar en los chats como si fueran la persona suplantada.

El segundo método se basa en enlaces fraudulentos y códigos QR maliciosos. En este caso, los atacantes envían a la víctima un enlace o un código QR con la excusa de unirla a un grupo, activar funciones avanzadas o verificar la cuenta. Al hacer clic o escanear el código, el usuario termina vinculando sin saberlo su cuenta a un dispositivo controlado por los ciberdelincuentes.

Con esa vinculación silenciosa, los atacantes pueden revisar el historial de chats, leer conversaciones en tiempo real e incluso enviar mensajes en nombre de la víctima, muchas veces sin que esta note nada al principio. Es un sistema especialmente peligroso en entornos profesionales y de administraciones públicas.

Suplantación del chatbot y del soporte técnico

Una de las tácticas que más preocupa a los servicios de Inteligencia es la suplantación del chatbot de soporte técnico dentro de las propias aplicaciones. El mensaje llega con apariencia totalmente legítima, imitando el tono, el logo y el estilo de comunicación de WhatsApp o Signal.

En el caso de Signal, los atacantes se hacen pasar por el equipo oficial de soporte y envían un mensaje a la posible víctima en el que aseguran haber detectado actividades raras en su cuenta. Alegan riesgo de filtración de datos, acceso no autorizado o problemas de seguridad que requieren una verificación inmediata.

En ese mismo mensaje se pide al usuario que comparta el código de verificación recibido por SMS y el PIN de la cuenta. Esta combinación les da a los delincuentes todo lo necesario para tomar el mando del perfil, modificar el número asociado a las verificaciones e impedir que el titular original recupere el acceso con facilidad.

Una vez consumado el robo, los atacantes suelen actuar con discreción: no siempre cambian de inmediato la foto o el nombre, y muchas veces siguen escribiendo a contactos de confianza como si nada hubiera pasado, lo que les facilita extender el ataque a nuevas víctimas.

Este patrón de comportamiento encaja con otras operaciones atribuidas a grupos de ciberespionaje vinculados al estado ruso, que buscan menos el beneficio económico directo y más el acceso silencioso a información estratégica, redes de contacto y conversaciones sensibles.

Posición oficial de Signal y estado de la seguridad técnica

Ante los informes de los servicios de Inteligencia europeos, Signal ha reconocido que está sufriendo una campaña de phishing dirigida contra algunos de sus usuarios, entre ellos periodistas y funcionarios gubernamentales. La plataforma insiste en que la amenaza se centra en el robo de cuentas, no en vulneraciones de su tecnología de cifrado.

En un comunicado reciente, la organización ha subrayado que su infraestructura y su encriptación continúan funcionando con normalidad, y que no hay indicios de que los atacantes hayan conseguido romper la protección extremo a extremo de los mensajes.

Signal recuerda que jamás pide códigos de verificación ni PIN a través de mensajes dentro de la app, ni por SMS, ni por correo, ni por redes sociales. Cualquier solicitud de este tipo debe considerarse sospechosa desde el primer momento, aunque parezca proceder de una cuenta «oficial».

La aplicación también ha adelantado que trabaja en mejoras de interfaz para reducir las posibilidades de engaño, con avisos más claros cuando se introducen códigos, sistemas de alerta frente a posibles intentos de robo de cuenta y medidas para reforzar las verificaciones sin depender tanto del SMS.

Entre las recomendaciones que ha difundido la plataforma se incluye la sugerencia de mantener la app siempre actualizada, revisar periódicamente los dispositivos vinculados y valorar, cuando sea posible, el uso de métodos de autenticación más robustos y contraseñas seguras en lugar del clásico mensaje de texto.

Consejos de seguridad para usuarios de WhatsApp y Signal

Los servicios de Inteligencia neerlandeses y los expertos en ciberseguridad están coincidiendo en una serie de pautas para reducir al máximo el riesgo de robo de cuentas en aplicaciones de mensajería. Muchas son sencillas, pero pueden marcar la diferencia ante una campaña tan agresiva.

En primer lugar, insisten en algo básico: no compartir nunca el código de verificación recibido por SMS ni el PIN de la cuenta, aunque el mensaje asegure venir del soporte técnico o use logotipos oficiales. Ninguna de estas plataformas necesita que el usuario envíe manualmente esos datos a nadie.

Otra recomendación clave es desconfiar de los mensajes que juegan con la urgencia o el miedo: avisos de bloqueo inminente, amenazas de pérdida de la cuenta, alertas de robo de datos que exigen actuar «ya» o de lo contrario se perderá todo. Ese tipo de presión es una señal clara de intento de estafa.

Los expertos también subrayan la importancia de revisar periódicamente los dispositivos vinculados tanto en WhatsApp como en Signal y eliminar cualquier equipo que no se reconozca. Este sencillo gesto puede cortar de raíz un acceso ilegítimo que ya se haya producido.

Otro punto delicado son los enlaces y los códigos QR. Ante un mensaje que invite a unirse a un grupo, activar funciones especiales o verificar la cuenta, los especialistas recomiendan no escanear códigos QR ni pulsar enlaces de origen dudoso, especialmente si provienen de contactos desconocidos o de supuestos servicios técnicos.

Por último, los servicios neerlandeses aconsejan a quienes trabajan con datos sensibles evitar el envío de información clasificada o delicada a través de estas aplicaciones siempre que sea posible, o al menos utilizar funciones como los mensajes temporales para no dejar un rastro permanente de las conversaciones más comprometidas.

Todo este escenario deja claro que el eslabón más débil sigue siendo el usuario, no la tecnología de cifrado. Con buenas prácticas de seguridad, cierto escepticismo ante los mensajes inesperados y una revisión periódica de la configuración de las cuentas, es posible reducir considerablemente las posibilidades de caer en estos fraudes, incluso en medio de una campaña global tan sofisticada como la que se atribuye a actores estatales rusos.