La reciente alerta del FBI sobre el uso de Telegram como infraestructura de mando y control por parte de actores iraníes vuelve a poner en evidencia algo que los expertos en ciberseguridad vienen advirtiendo desde hace años: las plataformas de mensajería, diseñadas para la comunicación cotidiana, también pueden convertirse en canal para operaciones ofensivas complejas. En su aviso público, el organismo señala que campañas dirigidas a periodistas críticos con el Gobierno iraní, disidentes y otros grupos opositores han empleado enlaces y archivos maliciosos para colar malware en equipos con Windows y, desde ahí, extraer pantallazos, documentos y otra información de valor.
No se trata solo de phishing simple: es recolección de inteligencia enmascarada. Según el FBI, las intrusiones no solo buscaban la interrupción; buscaban acumular datos que después fueron filtrados o utilizados para dañar la reputación de las víctimas. En muchos casos los atacantes combinaron ingeniería social con herramientas que permiten controlar remotamente los equipos comprometidos, una técnica que hace que la víctima apenas note la presencia del adversario hasta que ya es demasiado tarde. El comunicado técnico del FBI, publicado en su boletín IC3, ofrece detalles sobre los indicadores de compromiso y recomendaciones para mitigar el riesgo: ver PDF del IC3 del FBI.
El reporte del FBI vincula estas campañas a colectivos con afinidad iraní, incluidos el grupo hacktivista conocido como Handala y una agrupación con respaldo estatal referida como Homeland Justice. Además, los investigadores mencionan a un actor separado apodado Karma Below, todos ellos relacionados con exfiltración de datos y publicaciones en sitios web que sirvieron como buzones públicos para documentos robados. En respuesta a estas operaciones, las autoridades estadounidenses confiscaron recientemente varios dominios utilizados por esos grupos, bloqueando temporalmente uno de los canales que usaban para divulgar material sustraído.
Un caso que ilustra hasta qué punto estas campañas pueden dañar infraestructuras críticas es el incidente contra la multinacional del sector médico Stryker. En esa intrusión, los atacantes consiguieron privilegios administrativos en un dominio de Windows y lanzaron una orden remota para borrar o restablecer varios dispositivos gestionados a través de Microsoft Intune. El resultado fue la pérdida masiva de datos en equipos de la empresa y de trabajadores cuya gestión recaía en el sistema corporativo. Para entender mejor la capacidad de Intune para realizar borrados remotos (una funcionalidad legítima que los atacantes pueden abusar si obtienen credenciales con privilegios), Microsoft documenta cómo funciona la acción de "wipe" en su portal: más información sobre borrado remoto en Intune.
Otra arista preocupante es la reutilización de plataformas de mensajería no solo como vector pasivo (enlaces o archivos), sino como infraestructura activa de comando y control. Telegram, por su naturaleza de canales y bots, ofrece mecanismos que los adversarios pueden aprovechar para enviar instrucciones a malware o recibir datos exfiltrados sin pasar por servidores propios de difícil trazabilidad. Esto complica la detección, porque el tráfico hacia Telegram puede parecer legítimo y encriptado, y muchas organizaciones permiten el uso de estas aplicaciones por motivos laborales o personales.
En paralelo a la actividad iraní, las autoridades también han advertido sobre campañas orquestadas por actores relacionados con servicios de inteligencia rusos que apuntan a usuarios de mensajería como Signal y WhatsApp. Esos ataques suelen basarse en técnicas de phishing diseñadas para secuestrar cuentas mediante la obtención de códigos de verificación o el engaño para que la víctima facilite acceso. Certificados nacionales y agencias europeas han publicado avisos que describen esquemas similares, lo que confirma que el riesgo se extiende más allá de una sola plataforma o geografía; un ejemplo de alerta emitida por autoridades francesas puede consultarse aquí: aviso del CERT-FR sobre campañas contra mensajería.
¿Qué puede hacer una persona o un equipo de trabajo para reducir el riesgo? Primero, asumir que las plataformas de mensajería son un vector legítimo: desconfiar de enlaces o archivos inesperados, incluso si provienen de contactos conocidos cuyo cuenta podría estar comprometida. Segundo, proteger las cuentas con autenticación multifactor robusta y evitar recibir códigos de acceso por SMS cuando sea posible, ya que este canal es susceptible de secuestro. Tercero, aplicar el principio de menor privilegio en la administración de sistemas: no todos los usuarios deben tener derechos para crear administradores o lanzar acciones de borrado remotas. Además, mantener sistemas y aplicaciones actualizados reduce la superficie de explotación que los atacantes buscan aprovechar.
Para organizaciones, es clave instrumentar detección de comportamientos anómalos (por ejemplo, tráfico inusual hacia servicios de mensajería desde servidores que nunca deberían acceder a ellos) y revisar las políticas de uso de aplicaciones personales en equipos corporativos. Las copias de seguridad verificadas y aisladas son otro componente imprescindible: si un adversario logra borrar dispositivos o cifrar datos, una recuperación fiable limita el impacto operativo y reputacional.
El panorama que dibujan estas alertas es el de una guerra de información donde el intercambio de mensajes y la autenticidad de las cuentas son armas y objetivos. La convergencia entre técnicas de ingeniería social, abuso de servicios legítimos y operaciones geopolíticas hace que este tipo de amenazas no disminuyan con un simple parche. Requiere, en cambio, una combinación de higiene digital individual, controles técnicos y cooperación internacional entre empresas y autoridades para identificar, bloquear y desmantelar las infraestructuras utilizadas por los atacantes.
La recomendación final es mantenerse informado a partir de fuentes oficiales y especializadas y actuar con cautela: consultar el informe técnico del FBI sobre estas campañas puede ayudar a los equipos de seguridad y a los usuarios a reconocer indicadores de compromiso y adoptar medidas concretas antes de que la exposición se traduzca en pérdida de datos o daño reputacional. Para quienes quieran profundizar en los detalles técnicos y en las recomendaciones, el boletín del IC3 del FBI y las alertas de los equipos de respuesta nacionales son buenos puntos de partida: IC3 / FBI y CERT-FR.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...