Ni el cifrado de extremo a extremo más avanzado puede protegerte de un error humano bien provocado. Los servicios de inteligencia de los Países Bajos (AIVD y MIVD) han emitido una advertencia global sobre una campaña de hackeo a gran escala orquestada por actores estatales rusos. El objetivo: tomar el control de las cuentas de Signal y WhatsApp de diplomáticos, militares, funcionarios y periodistas para acceder a información clasificada (Fuente y el informe).
Lo más preocupante de este informe es que los atacantes no están rompiendo el código de las aplicaciones ni explotando fallos técnicos en los servidores de Meta o Signal. En su lugar, están «hackeando al usuario» mediante tácticas de ingeniería social de última generación.
El modus operandi: El falso chatbot de soporte
El método más frecuente detectado en esta campaña consiste en la suplantación de identidad oficial:
- El Gancho: La víctima recibe un mensaje directo dentro de la app de un supuesto «Signal Security Support Chatbot» o un perfil con logotipos oficiales de la plataforma.
- La Excusa: El mensaje alerta sobre un «intento de inicio de sesión sospechoso» o una «vulnerabilidad crítica de seguridad» que requiere una verificación inmediata.
- El Robo: Se le pide al usuario que comparta su código de verificación SMS o su PIN de seguridad. Una vez que el hacker obtiene este código, registra la cuenta en su propio dispositivo, expulsando al usuario legítimo y accediendo a todos sus mensajes futuros.
Abuso del «Dispositivo Vinculado» y códigos QR
Otra variante detectada, especialmente peligrosa por su sigilo, aprovecha la función de multidispositivo:
- Los hackers envían enlaces o códigos QR maliciosos bajo la promesa de «actualizar la cuenta» o «verificar el dispositivo».
- Si el usuario escanea ese código desde el menú de vinculación de su app, le está dando permiso al hacker para que conecte su propia computadora (o un servidor) a la cuenta de la víctima.
- El resultado: El atacante puede leer todas las conversaciones en tiempo real sin que el usuario note ninguna anomalía, ya que su sesión en el móvil sigue abierta normalmente.
Recomendaciones de inteligencia: La desconfianza es tu mejor defensa
Ante la agresividad de este ataque, las agencias de inteligencia han sido tajantes: Signal y WhatsApp ya no se consideran canales seguros para compartir información gubernamental clasificada o sensible, a pesar de su reputación de privacidad.
Para el usuario común, las reglas de oro son:
- Ignora cualquier mensaje de soporte: Ni Signal ni WhatsApp te pedirán jamás tu código de verificación o PIN a través de un chat. Estos códigos son solo para ti.
- Revisa tus dispositivos vinculados: Entra en los ajustes de tu app y cierra cualquier sesión sospechosa o desconocida inmediatamente.
- Desconfía de grupos desconocidos: No aceptes invitaciones a grupos de personas que no tengas en tu agenda, ya que son la puerta de entrada para estos perfiles falsos.
Esta brecha de seguridad basada en el engaño llega en una semana donde la privacidad está bajo la lupa: desde el rechazo de TikTok al cifrado de extremo a extremo hasta las nuevas funciones de protección contra estafas de Meta. La lección de 2026 es clara: la tecnología puede ser invulnerable, pero el usuario sigue siendo el eslabón más débil.
infosertecla.com 