Ciberataques rusos a WhatsApp y Signal sin malware

Los servicios de inteligencia de Países Bajos han alertado sobre una campaña global coordinada por actores rusos que busca comprometer cuentas de WhatsApp y Signal sin usar malware ni explotar vulnerabilidades técnicas. El ataque se enfoca en funcionarios públicos, diplomáticos y periodistas, utilizando únicamente técnicas de ingeniería social y phishing.

La falsa sensación de seguridad en las apps de mensajería

Durante años, WhatsApp y Signal se han posicionado como aplicaciones confiables para conversaciones privadas gracias a su cifrado de extremo a extremo. Esta característica garantiza que solo el remitente y el destinatario puedan leer los mensajes, bloqueando cualquier interferencia externa, incluso de las propias empresas que operan estas plataformas. Millones de usuarios en todo el mundo, desde profesionales hasta activistas, han depositado su confianza en esta promesa de privacidad.

Sin embargo, el cifrado robusto de una conversación no significa que la cuenta esté completamente blindada. Los servicios de inteligencia militar (MIVD) y el servicio general de inteligencia y seguridad (AIVD) de Países Bajos han documentado una campaña sofisticada que demuestra precisamente esto: es posible acceder a cuentas de estas aplicaciones sin necesidad de instalar software espía o descubrir fallos de seguridad en el código.

Lo inquietante del descubrimiento es que el método utilizado es relativamente simple: engañar al usuario para que entregue voluntariamente el acceso a su cuenta. Se trata de un recordatorio importante de que la seguridad digital no depende solo de la tecnología, sino también del comportamiento humano.

Cómo funciona el ataque: dos métodos principales

El primer método consiste en lo que los expertos llaman "account take-over" o toma directa de control. Los atacantes se hacen pasar por el equipo de soporte oficial de la aplicación y envían mensajes a la víctima alertando sobre actividades sospechosas, posibles filtraciones de datos o intentos de acceso no autorizados a su cuenta. Esto genera alarma inmediata en el usuario, quien generalmente actúa rápido sin verificar la legitimidad del mensaje. Luego solicitan que complete un proceso de verificación y que comparta el código que recibe por SMS, así como el PIN configurado en la aplicación. Una vez obtienen estos datos, toman control total de la cuenta y pueden reasociarla a un número telefónico bajo su control.

El segundo método es más insidioso porque no requiere que la víctima pierda el control inmediato de su cuenta. Los atacantes utilizan técnicas de ingeniería social para convencer al usuario de que escanee un código QR o haga clic en un enlace aparentemente legítimo, generalmente con la excusa de unirse a un grupo de chat o una llamada grupal. Ese código QR o enlace está diseñado para vincular el dispositivo del atacante a la cuenta de la víctima mediante las funciones de dispositivos vinculados que ofrecen ambas aplicaciones. Una vez conectado, el atacante puede acceder a las conversaciones activas, ver el historial de mensajes y, lo más grave, enviar mensajes en nombre del usuario sin que este se percate.

Ambos métodos comparten una característica fundamental: no requieren malware como Pegasus u otras herramientas sofisticadas de vigilancia. El ataque se basa puramente en manipulación psicológica y en la capacidad del atacante de simular comunicaciones oficiales de manera creíble.

¿A quiénes van dirigidos estos ataques?

Según el informe de los servicios neerlandeses, los objetivos principales son dignatarios, funcionarios públicos, personal militar y periodistas. Se ha confirmado que empleados del Gobierno de Países Bajos han sido tanto objetivo como víctimas de estos intentos. Esto sugiere que se trata de una operación de espionaje coordinada con objetivos específicos de alto valor político y estratégico, no de ataques masivos al azar.

Impacto en Colombia y Latinoamérica

En Colombia, donde las aplicaciones de mensajería son herramientas cotidianas para comunicación corporativa y gubernamental, esta advertencia tiene relevancia directa. Funcionarios públicos, congresistas, diplomáticos y periodistas que cubren temas sensibles son potenciales objetivos de este tipo de operaciones. El país ha sido históricamente objetivo de operaciones de inteligencia extranjera, por lo que esta nueva táctica sin malware podría representar una amenaza subestimada para la seguridad de la información gubernamental y de figuras públicas.

En el contexto latinoamericano más amplio, donde países como México, Argentina y Chile también han reportado actividades de espionaje digital, estas técnicas de ingeniería social podrían adaptarse fácilmente a diferentes contextos. Los gobiernos de la región deberían considerar capacitar a sus funcionarios en reconocimiento de intentos de phishing y establecer protocolos de verificación antes de compartir códigos de acceso, incluso si la solicitud parece provenir de fuentes oficiales.

Recomendaciones prácticas para proteger tu cuenta

Los servicios de inteligencia neerlandeses han propuesto varias medidas concretas que cualquier usuario puede implementar. Primero, nunca compartir códigos de verificación o PINs de la aplicación a través de mensajes, incluso si la solicitud parece provenir del servicio de soporte oficial. Segundo, desconfiar de enlaces o códigos QR enviados por contactos desconocidos y verificar siempre estas solicitudes por otro canal de comunicación antes de interactuar con ellos.

Otras medidas importantes incluyen revisar periódicamente la lista de dispositivos vinculados a tu cuenta y eliminar cualquiera que no reconozcas. En Signal, existe una opción específica para activar el bloqueo de registro, que impide que alguien inicie sesión con tu número desde un dispositivo nuevo. Finalmente, si sospechas que tu cuenta ha sido comprometida, comunícate con tus contactos por otro canal para advertirles sobre posibles suplantaciones de identidad.

Qué esperar de aquí en adelante

Es probable que este método se replique en otras campañas de espionaje, tanto por actores estatales como por grupos criminales más organizados. La relativa sencillez del ataque, combinada con su efectividad, lo hace atractivo para cualquier persona con intenciones maliciosas y capacidad de social engineering. WhatsApp y Signal podrían considerar implementar verificaciones adicionales o sistemas de alerta más sofisticados cuando se intenten cambios de dispositivo vinculado.

Lo fundamental es que los usuarios reconozcan que el cifrado de extremo a extremo es solo una parte del rompecabezas de seguridad. La verdadera protección requiere vigilancia constante, escepticismo sano ante solicitudes de credenciales y una cultura de verificación en dos canales diferentes. En tiempos de desinformación y operaciones de influencia coordinadas, mantener esta disciplina es más importante que nunca.

Si quieres conocer otros artículos parecidos a Ciberataques rusos a WhatsApp y Signal sin malware puedes visitar la categoría Gadgets y Hardware.