En las últimas semanas, agencias de seguridad de varios países han encendido las alarmas por una campaña de phishing dirigida a aplicaciones de mensajería comercial como WhatsApp y Signal. Los organismos estadounidenses CISA y el FBI han advertido que actores ligados a servicios de inteligencia rusos están intentando secuestrar cuentas de personas con “alto valor de inteligencia”: funcionarios públicos, militares, periodistas y figuras políticas.
Lo relevante de esta campaña es que no se trata de una vulneración técnica de los protocolos de cifrado de estas plataformas, sino de una explotación de la confianza humana: los atacantes usan técnicas de ingeniería social para convencer a las víctimas de que entreguen códigos de verificación, escaneen códigos QR o cliquen enlaces maliciosos. El resultado: la toma de control de cuentas, vista de mensajes, y la suplantación para lanzar nuevos engaños desde una identidad confiable. Las agencias dicen que ya se han comprometido miles de cuentas en todo el mundo.
Hay dos formas principales con las que los atacantes logran el acceso, y la diferencia entre ellas es importante. Si la víctima proporciona el código o el PIN de verificación solicitado, el atacante recupera la cuenta y el propietario pierde el acceso; el atacante no podrá ver los mensajes antiguos, pero sí podrá leer y enviar mensajes nuevos haciéndose pasar por la víctima. Si la víctima, en cambio, hace clic en un enlace o escanea un código QR preparado por el atacante, entonces un dispositivo controlado por el adversario queda emparejado con la cuenta, lo que puede permitir el acceso completo a conversaciones pasadas y presentes, mientras el usuario afectado sigue pudiendo entrar a la cuenta hasta que sea expulsado desde la configuración de la app.
Distintos equipos de inteligencia de empresas tecnológicas y centros de respuesta han vinculado campañas similares a grupos alineados con Rusia identificados en la literatura de ciberseguridad con etiquetas como Star Blizzard, UNC5792 y UNC4221. Informes de inteligencia de grandes proveedores señalan patrones y tácticas parecidas, y alertas europeas, como la del centro de crisis cibernética francés C4/ANSSI, confirman un aumento de operaciones dirigidas contra cuentas de mensajería de funcionarios, periodistas y líderes empresariales.
Las autoridades también han explicado por qué estos incidentes son especialmente peligrosos. Cuando un atacante controla una cuenta de mensajería, no solo obtiene acceso a conversaciones, también puede manipular la percepción de contactos cercanos: enviar enlaces peligrosos o solicitudes aparentando ser la víctima, y así extender la red de compromiso a personas que confían en el remitente. En términos prácticos, una sola cuenta comprometida puede convertirse en la herramienta para atacar a una docena más.
Las recomendaciones de seguridad no son nuevas, pero ahora cobran mayor urgencia. Nunca compartir códigos de verificación o PIN con nadie; tratar con desconfianza mensajes inesperados que pidan acciones urgentes; comprobar la autenticidad de un mensaje por otra vía antes de responder; y revisar periódicamente los dispositivos vinculados a tus aplicaciones para eliminar los que no reconozcas. WhatsApp mantiene instrucciones específicas sobre la verificación en dos pasos y buenas prácticas en su centro de ayuda (ver FAQ de WhatsApp), y Signal publica pautas contra phishing e impersonaciones (ver artículo de Signal).
Signal ha recordado públicamente que su código de verificación por SMS solo se requiere durante la activación inicial y que Signal Support nunca contacta a usuarios pidiendo códigos o PIN por mensaje. Cualquier solicitud de ese tipo debe considerarse una estafa, y la empresa ha pedido a los usuarios que denuncien intentos de suplantación en los que aparezca un supuesto “Signal Support Bot” u otros emisores sospechosos (declaración de Signal).
Además de no compartir códigos, hay medidas concretas que reducen el riesgo: activar la verificación en dos pasos o el PIN de registro que ofrecen estas aplicaciones, usar bloqueos de pantalla en el dispositivo, mantener el sistema operativo y las apps actualizadas, y desconfiar de enlaces acortados o dominios que imitan servicios legítimos. Para organizaciones y altos cargos, la práctica recomendada incluye controles adicionales de seguridad y protocolos de verificación offline antes de aceptar comunicaciones sensibles.
Las instituciones encargadas de la ciberseguridad recomiendan también que cualquier persona que sospeche haber sido objetivo de este tipo de campaña presente una denuncia y siga las guías oficiales para reportar el incidente. En Estados Unidos, el IC3 y otras agencias difunden avisos y pasos a seguir; CISA mantiene recursos sobre cómo identificar y responder a campañas de phishing (más información de CISA).
Este tipo de ofensivas recuerda que la seguridad no depende solo de algoritmos y cifrados robustos: depende de personas bien informadas y procesos que dificulten el abuso de la confianza. La tecnología de mensajería protege los mensajes en tránsito, pero si un atacante consigue entrar por la puerta del usuario, el nivel de protección se reduce drásticamente. Por eso, además de las mejoras técnicas, la formación y la prudencia son la primera línea de defensa.
Si su trabajo o su posición lo hace más probable objetivo de estas campañas, considere elevar las barreras de seguridad y coordinar con su departamento de TI o con equipos de respuesta ante incidentes para implementar medidas proactivas. Las advertencias públicas recientes son una llamada de atención para no bajar la guardia: la ingeniería social sigue siendo, en muchos casos, la herramienta preferida de actores sofisticados.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...