El FBI y CISA alertan sobre una campaña de ingeniería social que elude la encriptación de extremo a extremo mediante phishing. Funcionarios gubernamentales, militares y periodistas son los objetivos principales de una operación atribuida a los servicios de inteligencia rusos.
El FBI y CISA publicaron el 20 de marzo una alerta conjunta confirmando una campaña global de phishing orquestada por actores vinculados a los servicios de inteligencia rusos (RIS) que ha resultado en la compromisión de miles de cuentas individuales de aplicaciones de mensajería comercial.
La operación que el IC3 documenta en su anuncio público I-032026-PSA, no explota vulnerabilidades en la encriptación de las aplicaciones sino que utiliza ingeniería social para engañar a los usuarios y hacerse con el control de sus cuentas. Signal aparece identificado como el objetivo principal, aunque las técnicas son aplicables a otras plataformas similares.
La táctica central consiste en suplantar cuentas de soporte automatizado de las aplicaciones de mensajería. Los atacantes envían mensajes que falsamente alertan sobre fugas de datos o inicios de sesión sospechosos, instando a las víctimas a compartir códigos de verificación SMS, PINs de cuenta o a escanear códigos QR maliciosos.
Cuando un usuario proporciona esta información, los actores añaden su propio dispositivo como terminal vinculado, lo que les otorga acceso silencioso a todas las conversaciones, grupos y contactos sin disparar alertas inmediatas. CISA ha publicado recursos adicionales con orientación para identificar y mitigar este tipo de intentos de suplantación.
El perfil de las víctimas revela la naturaleza de espionaje de la campaña. Los objetivos son individuos de alto valor de inteligencia: funcionarios gubernamentales actuales y retirados, personal militar, figuras políticas y periodistas.
Una vez dentro de una cuenta, los atacantes pueden monitorear comunicaciones privadas en tiempo real, exfiltrar historiales completos de chat, recolectar listas de contactos y lanzar campañas de phishing secundarias contra los contactos de la víctima original, aprovechando la confianza que generan los mensajes enviados desde una cuenta legítima. La campaña es global y persistente, con evidencia de miles de accesos no autorizados confirmados hasta la fecha.
La respuesta internacional ha sido coordinada. El CERT-FR, el centro de respuesta a incidentes de Francia, emitió el mismo 20 de marzo una nota de alerta identificando un repunte de ataques contra cuentas de mensajería instantánea, con foco en sectores regalia y personal de la sociedad civil en funciones sensibles.
Los servicios de inteligencia holandeses AIVD y MIVD habían advertido previamente sobre campañas similares atribuidas a actores respaldados por el Estado ruso. La convergencia de alertas de múltiples jurisdicciones subraya la escala y sofisticación de la operación, que se adapta continuamente y podría incorporar técnicas adicionales como malware en fases posteriores.
Las recomendaciones de las agencias son directas y operativas:
Nunca compartir códigos de verificación o PINs por solicitudes no iniciadas, tratar con extrema sospecha los mensajes inesperados de contactos desconocidos o incluso conocidos con solicitudes inusuales, verificar regularmente la lista de dispositivos vinculados en la configuración de la aplicación y desconectar cualquier equipo no autorizado, habilitar la función de mensajes efímeros para limitar la exposición histórica y reportar de inmediato actividad sospechosa a los equipos de seguridad organizacional y al IC3.
El soporte legítimo de las aplicaciones de mensajería nunca solicita códigos de verificación por chat directo dentro de la aplicación ni envía enlaces para "verificar" cuentas. La encriptación de extremo a extremo permanece técnicamente intacta, pero su efectividad se anula cuando el adversario accede directamente al dispositivo autorizado del usuario.
FUENTE ORIGINAL
FBI / CISA↗CURADO POR
Alejandro Vargas