El pasado aviso público del FBI pone en letras grandes algo que muchos expertos venían sospechando: hay campañas de phishing que están logrando tomar el control de cuentas en aplicaciones de mensajería cifrada y, según la agencia, estas operaciones están vinculadas directamente con servicios de inteligencia rusos. El comunicado del FBI —el primero que atribuye de forma explícita estas campañas a inteligencia rusa— describe un patrón inquietante: no se trata de romper los protocolos de cifrado de extremo a extremo, sino de saltarse la protección aprovechando la confianza y la mecánica de verificación de las propias aplicaciones.
Las tácticas observadas son sencillas en su técnica y eficaces en su ejecución. Los atacantes envían mensajes haciéndose pasar por cuentas de soporte o por contactos de confianza y piden al destinatario que realice una acción aparentemente inocua, como compartir un código de verificación o escanear un código QR. Esas mismas acciones son las que permiten a Signal y WhatsApp enlazar un dispositivo nuevo a una cuenta existente; explotadas maliciosamente, permiten al intruso añadir un dispositivo bajo su control y acceder a los mensajes y a la lista de contactos. Signal explica cómo funcionan las dispositivos vinculados y WhatsApp detalla su mecanismo de verificación en su sección de ayuda sobre códigos.
El FBI subraya que el objetivo de estos ataques no es «romper» el cifrado; el cifrado sigue funcionando para los dispositivos legítimos. El problema ocurre cuando el atacante consigue que su propio dispositivo sea tratado por la plataforma como uno más del usuario, con capacidad para leer mensajes, entrar en grupos, hacerse pasar por la víctima y lanzar nuevas oleadas de phishing desde una cuenta ya comprometida. Según la nota del FBI, estas operaciones ya alcanzaron a «miles» de cuentas en todo el mundo y se han dirigido preferentemente a personas con acceso a información sensible: funcionarios actuales y anteriores, militares, cargos políticos y periodistas. Puedes leer el aviso completo del FBI en su PSA disponible aquí.
La alerta norteamericana llega después de avisos similares emitidos en Europa; por ejemplo, la autoridad francesa de coordinación en cibercrisis publicó un informe que muestra los mismos patrones y ejemplos de mensajes de phishing utilizados contra usuarios de mensajería instantánea. El documento de la C4 (Centre de réponse aux incidents) detalla muestras y tácticas en un PDF público que ayuda a ver cómo se presenta el gancho en la conversación real: alerta de la C4.
¿Por qué estas campañas son tan peligrosas? Porque cambian la naturaleza de la amenaza: el cifrado sigue ofreciendo confidencialidad entre dispositivos legítimos, pero si el adversario logra que su dispositivo forme parte del conjunto de dispositivos del usuario, entonces puede leer y enviar mensajes sin necesidad de vulnerar protocolos criptográficos. Eso convierte a los contactos y las conversaciones en vectores de propagación: un mensaje desde una cuenta comprometida parece legítimo y es mucho más eficaz para engañar a nuevas víctimas.
En la práctica, los mensajes fraudulentos suelen pedir acciones concretas: introducir o enviar códigos de verificación, escanear un QR para «reconectar» el servicio o seguir enlaces que conducen a páginas que reemulan la interfaz de la app. Ante una petición así, la recomendable es desconfiar por defecto. Nunca hay que facilitar códigos de verificación ni escanear códigos QR que no se hayan solicitado desde el propio dispositivo del usuario. También es buena idea revisar periódicamente la lista de dispositivos vinculados en tu aplicación y cerrar sesiones que no reconozcas; las propias páginas de ayuda de Signal y WhatsApp enseñan cómo gestionar esos vínculos y cerrar dispositivos remotos.
Para quienes trabajan con información sensible —periodistas con fuentes, funcionarios, miembros de ONG o cualquier persona con riesgo alto— las medidas deben ser más estrictas: usar la función de bloqueo de registro que ofrece Signal (que impone un PIN para evitar re-registros) o activar la verificación en dos pasos de WhatsApp para añadir una capa adicional de defensa, mantener separados los canales de comunicación críticos y, cuando sea posible, utilizar dispositivos y cuentas dedicadas para comunicaciones sensibles. Estas prácticas reducen la probabilidad de que un correo o un mensaje ingenioso derive en un secuestro de cuenta.
Técnicamente, las plataformas también pueden mejorar la detección y presentación de estos engaños, y algunas ya han trabajado en ello; sin embargo, la defensa más efectiva sigue siendo la conciencia del usuario. Un impulso inesperado para «resolver un problema de seguridad» en la conversación no es inocuo: detente, verifica por otro canal y no compartas códigos ni credenciales.
Si crees que tu cuenta ha sido comprometida, desconecta los dispositivos vinculados, cambia la configuración de seguridad y avisa a tus contactos para que estén alerta ante mensajes atípicos que puedan provenir de tu identidad. Las organizaciones deben considerar además procedimientos de respuesta y notificación específicos para empleados con acceso a información sensible, porque la cadena de suplantación puede escalar rápidamente si la cuenta comprometedora pertenece a una persona con muchos contactos influyentes.
Por último, conviene recordar que atribuir ataques a estados-nación añade una capa política y operativa al problema: cuando una inteligencia está detrás de estas campañas, el objetivo no es solo el acceso puntual, sino la explotación prolongada y selectiva de información. Por eso el aviso del FBI no es solo una noticia más sobre ciberseguridad; es una llamada a reorganizar hábitos y controles para proteger lo que los protocolos de cifrado no pueden defender por sí solos: la integridad de los dispositivos y la prudencia humana. Mantenerse informado y aplicar las recomendaciones de las propias aplicaciones y de las autoridades es lo mínimo que podemos hacer. Para más detalles técnicos y ejemplos, revisa la PSA del FBI aquí y la guía práctica de la C4 francesa aquí, así como las páginas de ayuda oficiales de Signal y WhatsApp.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...