Las aplicaciones de mensajería cifrada vuelven a situarse en el centro del ciberespionaje global. El FBI y la CISA han avisado de la existencia de una campaña de phishing a gran escala vinculada a actores alineados con los servicios de inteligencia rusos, cuyo objetivo es tomar el control de cuentas en plataformas como WhatsApp y Signal.
El elemento más relevante de esta operación es que no se basa en vulnerabilidades técnicas ni en la ruptura del cifrado de extremo a extremo. En su lugar, los atacantes explotan el eslabón más débil de la cadena: el usuario. A través de técnicas de ingeniería social, logran que las propias víctimas entreguen el acceso a sus cuentas.
Objetivos de alto valor en el ámbito político y mediático
La campaña no es indiscriminada. Según las autoridades estadounidenses, los ataques están dirigidos a perfiles con alto valor estratégico, entre los que se encuentran funcionarios actuales y antiguos del Gobierno de Estados Unidos, personal militar, responsables políticos y periodistas.
El director del FBI, Kash Patel, ha confirmado que la operación ya ha permitido acceder de forma no autorizada a miles de cuentas en todo el mundo. Este dato refleja no solo la escala de la campaña, sino también su eficacia.
Una vez comprometida una cuenta, los atacantes obtienen acceso a conversaciones privadas, listas de contactos y otros datos sensibles. Además, pueden enviar mensajes en nombre de la víctima, lo que les permite ampliar el ataque aprovechando la confianza de su red de contactos.
La ingeniería social como vector de ataque principal
El modus operandi de los ciberdelincuentes se basa en generar urgencia y credibilidad. Los mensajes fraudulentos simulan proceder de servicios oficiales o de soporte técnico, alertando sobre supuestos accesos sospechosos o problemas de seguridad en la cuenta.
En ese contexto, se solicita al usuario que actúe de inmediato, ya sea proporcionando su código de verificación, su PIN o accediendo a un enlace. En algunos casos, se invita incluso a escanear un código QR. Estas acciones, aparentemente inocuas, son suficientes para transferir el control de la cuenta al atacante.
Este tipo de ataques no requiere conocimientos técnicos avanzados, pero sí una ejecución precisa en términos de engaño y contexto. La clave está en que el mensaje resulte creíble en el momento adecuado.
Dos vías de compromiso con distinto impacto
Las agencias han identificado dos mecanismos principales que determinan el alcance del ataque. En el primer caso, cuando la víctima facilita su código de verificación o PIN, el atacante puede recuperar la cuenta y expulsar al usuario legítimo. Aunque este método no permite acceder al historial previo, sí posibilita interceptar nuevas comunicaciones.
En el segundo escenario, más sofisticado, la víctima accede a un enlace o escanea un código QR que vincula un dispositivo controlado por el atacante a la cuenta. En este caso, el acceso es completo, incluyendo mensajes antiguos y nuevos, y puede pasar desapercibido durante más tiempo.
Este segundo método representa una amenaza más persistente y difícil de detectar, ya que el usuario puede seguir utilizando la aplicación sin ser consciente de la intrusión.
Una campaña alineada con intereses geopolíticos
Aunque no se ha atribuido oficialmente la operación a un grupo concreto, investigaciones previas de Microsoft y Google han vinculado campañas similares a actores asociados con Rusia, como Star Blizzard o los clusters UNC5792 y UNC4221.
En paralelo, organismos europeos han detectado patrones similares. El centro C4 de la ANSSI ha alertado de ataques dirigidos contra responsables políticos, ejecutivos y periodistas en Europa, lo que sugiere una estrategia coordinada de alcance internacional.
El objetivo no es únicamente el acceso a información, sino también la capacidad de influir, manipular comunicaciones y escalar el ataque dentro de redes de confianza.
