Alerta: campaña rusa secuestra cuentas de Signal y WhatsApp con phishing de códigos y PIN

Phishing en Signal y WhatsApp es el eje de una nueva advertencia emitida por los servicios de inteligencia y seguridad militar de Países Bajos (AIVD y MIVD), que describen una campaña rusa “a gran escala” orientada a tomar control de cuentas de mensajería de funcionarios, periodistas y personal militar. La operación no busca romper el end-to-end encryption: su objetivo es capturar credenciales operativas (códigos de verificación y PIN) para acceder a las conversaciones desde dentro de la cuenta.

Según las agencias neerlandesas, los atacantes contactan directamente a objetivos mediante chats y los persuaden para compartir el código de verificación (habitualmente de seis dígitos) o el PIN, un paso que equivale a entregar el control total de la cuenta. En algunos casos, la campaña incluye suplantación de un supuesto “support bot” de Signal para que la solicitud parezca legítima, reduciendo la fricción psicológica del engaño.

Phishing en Signal y WhatsApp: el secuestro de cuenta evita romper el cifrado

El punto crítico del incidente es que el end-to-end encryption protege el contenido en tránsito entre dispositivos, pero no impide que un intruso lea mensajes si logra registrar un dispositivo o iniciar sesión como el usuario. En términos de seguridad, se trata de un “account takeover” que desplaza el ataque desde la criptografía hacia la ingeniería social y el control de sesión, una superficie de riesgo especialmente relevante en entornos gubernamentales.

Las agencias también señalan un vector adicional: el abuso de la función de “linked devices” en Signal. Si el atacante consigue vincular su propio dispositivo a la cuenta de la víctima, puede replicar el flujo de mensajes y monitorizar chats (incluidos grupos) sin necesidad de interceptación ni explotación de vulnerabilidades del protocolo de cifrado.

Impacto y alcance: víctimas confirmadas en el gobierno neerlandés

AIVD y MIVD aseguran que la campaña ya ha atrapado víctimas, incluyendo personal dentro del gobierno de Países Bajos. En su comunicación, indican que los atacantes “probablemente han obtenido acceso a información sensible” y enumeran como objetivos y víctimas a empleados gubernamentales y periodistas, un patrón consistente con operaciones de inteligencia que priorizan acceso persistente a comunicaciones y redes de confianza.

Meta, propietaria de WhatsApp, trasladó a la prensa que los usuarios no deben compartir el código de seis dígitos y que existen guías específicas para mitigar estafas y secuestro de cuentas. Signal, por su parte, no respondió de inmediato a las consultas del medio que difundió inicialmente la información.

Señales de compromiso y respuesta oficial

Las autoridades neerlandesas publicaron un aviso de ciberseguridad y están asistiendo a usuarios afectados para recuperar y asegurar sus cuentas. En el documento se mencionan indicios operativos de posible compromiso, como contactos que aparecen duplicados en la lista o números que pasan a figurar como “deleted account”, señales que pueden apuntar a cambios anómalos en el estado de la cuenta o en su directorio asociado.

Por qué Phishing en Signal y WhatsApp preocupa a la industria

El caso refuerza una conclusión incómoda para la administración pública y sectores regulados: las apps de mensajería cifrada de consumo aportan confidencialidad fuerte, pero no equivalen a un sistema de comunicaciones clasificado. En palabras del director del MIVD, el vicealmirante Peter Reesink, incluso con end-to-end encryption, herramientas como Signal y WhatsApp no deberían utilizarse para información clasificada, confidencial o sensible.

Phishing en Signal y WhatsApp no es, por tanto, un debate sobre la fortaleza del cifrado, sino sobre el eslabón más débil: la autenticación, el registro de dispositivos y la manipulación del usuario. La campaña descrita por AIVD y MIVD subraya que, cuando el adversario no puede romper la criptografía, intenta convertir el flujo de verificación en un canal de exfiltración de acceso.

Fuentes oficiales: AIVD (Países Bajos) y Aviso técnico AIVD/MIVD. Referencias de fabricantes: Signal y WhatsApp Security.

Cierre: con Phishing en Signal y WhatsApp escalando a campañas coordinadas, el riesgo para organizaciones no se limita a la interceptación técnica, sino al secuestro silencioso de identidades de mensajería y a la exposición de conversaciones completas una vez que el atacante opera dentro de la cuenta.