Hackers rusos atacan Signal y WhatsApp: Guía completa de ataques de ingeniería social

Hackers estatales rusos han comprometido con éxito cuentas de Signal y WhatsApp de empleados del gobierno holandés mediante sofisticados ataques de ingeniería social que explotan la psicología humana en lugar de vulnerabilidades técnicas, según las agencias de inteligencia AIVD y MIVD. La campaña de ciberespionaje de 2025 representa un cambio significativo en las tácticas de guerra cibernética, apuntando al elemento humano en los sistemas de seguridad en lugar de intentar romper protocolos de cifrado.

¿Qué son los ataques de smishing y quishing?

Los hackers rusos emplearon dos tácticas principales: smishing (phishing por SMS) y quishing (phishing por código QR). En ataques de smishing, enviaron mensajes de texto fraudulentos haciéndose pasar por chatbots de soporte legítimos de Signal o WhatsApp, solicitando a los usuarios que confirmaran códigos de seguridad. Cuando las víctimas cumplían, inadvertidamente daban a los atacantes control total sobre sus cuentas. Los ataques de quishing involucraron códigos QR maliciosos que, al escanearse, permitían a los hackers vincular dispositivos adicionales a las cuentas de las víctimas, permitiéndoles leer todos los mensajes de forma remota.

El experto en ciberseguridad Jort Kollerie, asesor estratégico en Orange Cyberdefense, explicó la manipulación psicológica: 'La seguridad es excelente técnicamente, pero esto se trata del elemento humano. El objetivo está siendo manipulado. Se está jugando con la psique humana.' Kollerie comparó la táctica con alguien en uniforme de reparto que gana acceso a edificios seguros: las personas confían naturalmente en apariencias familiares y solicitudes urgentes.

Cómo funciona la campaña de ataque

Compromiso de cuentas de Signal

Para cuentas de Signal, los hackers se hicieron pasar por el equipo de soporte oficial de la aplicación, enviando mensajes que parecían provenir de 'Soporte de Signal'. Estos mensajes afirmaban que había problemas de seguridad con la cuenta del usuario y solicitaban códigos de verificación por SMS y números PIN. Una vez obtenidos, los atacantes podían registrar nuevos dispositivos en la cuenta de la víctima, tomando efectivamente el control mientras el usuario legítimo permanecía conectado en su dispositivo original.

Toma de control de cuentas de WhatsApp

Los ataques a WhatsApp explotaron la función 'Dispositivos vinculados' de la plataforma. Los hackers enviaron códigos QR o enlaces maliciosos que, al escanearse, les permitían conectar sus propios dispositivos a las cuentas de las víctimas. A diferencia de Signal, WhatsApp sincroniza el historial de chat en dispositivos vinculados, lo que significa que los atacantes podían acceder potencialmente a conversaciones pasadas y mensajes en tiempo real.

Técnicas de manipulación psicológica

Los hackers emplearon tácticas psicológicas sofisticadas para eludir la precaución natural de los usuarios:

• Miedo y urgencia: Los mensajes crearon presión de tiempo artificial, sugiriendo que se requería acción inmediata para prevenir la suspensión de la cuenta o violaciones de seguridad.
• Suplantación de autoridad: Los hackers se presentaron como representantes de soporte oficial de organizaciones confiables.
• Interfaz familiar: Los mensajes utilizaron marca oficial, logotipos y patrones de lenguaje idénticos a las comunicaciones legítimas.
• Prueba social: Algunos ataques hicieron referencia a otros 'usuarios afectados' para crear una sensación de problemas generalizados que requerían atención inmediata.

Kollerie enfatizó que estas tácticas funcionan porque explotan comportamientos humanos fundamentales: 'No tiene nada que ver con la seguridad técnica de las aplicaciones. La seguridad es excelente, pero se trata del humano. Aquí están siendo manipulados.'

Impacto en la seguridad nacional

Los servicios de inteligencia holandeses confirmaron que empleados gubernamentales, personal militar y potencialmente periodistas estaban entre los objetivos. Si bien la información exacta comprometida permanece clasificada, el daño potencial es significativo. La infraestructura de ciberseguridad holandesa enfrenta amenazas continuas de actores patrocinados por el estado que buscan información sensible sobre operaciones gubernamentales, estrategias militares y comunicaciones diplomáticas.

El AIVD y MIVD emitieron una advertencia cibernética conjunta señalando que, aunque Signal y WhatsApp ofrecen cifrado de extremo a extremo, no deben usarse para información gubernamental clasificada o altamente sensible. La asesoría nota que una vez que las cuentas están comprometidas, los hackers pueden acceder a mensajes entrantes, incluidos chats grupales, exponiendo potencialmente a múltiples individuos y organizaciones.

Medidas de protección y mejores prácticas

Para protegerse contra ataques similares, los expertos en ciberseguridad recomiendan:

1. Nunca compartir códigos de verificación: Los servicios legítimos nunca pedirán códigos de verificación por SMS o números PIN por mensaje.
2. Verificar a través de canales alternativos: Si es contactado por 'soporte', verifique a través de sitios web oficiales o métodos de contacto conocidos.
3. Habilitar funciones de seguridad adicionales: Use bloqueos de registro y autenticación de dos factores donde esté disponible.
4. Monitorear la actividad de la cuenta: Revise regularmente los dispositivos vinculados y sesiones activas en la configuración de la aplicación.
5. Reportar mensajes sospechosos: Reenvíe comunicaciones sospechosas a equipos de seguridad oficiales.

Las agencias holandesas recomiendan específicamente que los usuarios estén atentos a signos de compromiso, incluida la aparición de cuentas duplicadas en grupos de chat, cambios repentinos en el nombre de pantalla que no hicieron o solicitudes inesperadas para verificar cuentas.

Implicaciones globales y respuesta

Esta campaña parece ser parte de una operación global más amplia dirigida a funcionarios gubernamentales, personal militar y periodistas en todo el mundo. La comunidad internacional de ciberseguridad ha notado una mayor sofisticación en los ataques de ingeniería social, con contenido generado por IA haciendo que las comunicaciones fraudulentas sean cada vez más difíciles de distinguir de los mensajes legítimos.

Signal y WhatsApp han emitido declaraciones enfatizando que sus protocolos de cifrado permanecen seguros y que estos ataques explotan el comportamiento del usuario en lugar de vulnerabilidades técnicas. Ambas empresas aconsejan a los usuarios que sean cautelosos con cualquier solicitud de verificación inesperada y que utilicen canales de soporte oficiales para obtener ayuda.

Preguntas frecuentes

¿Qué es smishing y quishing?

Smishing es phishing por SMS donde los atacantes envían mensajes de texto fraudulentos para engañar a las víctimas. Quishing es phishing por código QR donde códigos QR maliciosos redirigen a los usuarios a sitios fraudulentos o permiten la vinculación de dispositivos.

¿Cómo puedo saber si mi cuenta de Signal o WhatsApp ha sido comprometida?

Verifique dispositivos vinculados desconocidos en la configuración de su aplicación, busque cuentas duplicadas en chats grupales y monitoree mensajes que no envió o cambios en el nombre de pantalla que no hizo.

¿Debería dejar de usar Signal y WhatsApp para comunicaciones sensibles?

Aunque estas aplicaciones ofrecen cifrado fuerte, los servicios de inteligencia holandeses recomiendan que no se usen para información gubernamental clasificada. Para comunicaciones personales sensibles, permanecen seguras si los usuarios siguen prácticas de seguridad adecuadas.

¿Qué debo hacer si recibo una solicitud de verificación sospechosa?

No responda ni comparta ningún código. Contacte al servicio a través de su sitio web oficial o aplicación utilizando métodos de contacto conocidos para verificar la legitimidad de la solicitud.

¿Estos ataques se limitan a empleados gubernamentales?

Aunque los empleados gubernamentales parecen ser objetivos principales, tácticas similares podrían usarse contra cualquier usuario. Todos los usuarios de Signal y WhatsApp deben ser conscientes de estas técnicas de ingeniería social.

Fuentes

Aviso Cibernético AIVD/MIVD
Informe de TechCrunch
Informe Original de BNR
Experto en Ciberseguridad Jort Kollerie