AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### El FBI alerta sobre campañas de phishing dirigidas a usuarios de Signal y WhatsApp por grupos vinculados a la inteligencia rusa

admin

#### 1. Introducción

El FBI ha emitido recientemente una advertencia pública destinada a profesionales y usuarios de aplicaciones de mensajería cifrada, como Signal y WhatsApp, tras detectar una oleada de campañas de phishing altamente sofisticadas. Estas operaciones, atribuidas a actores de amenaza relacionados con la inteligencia rusa, han comprometido miles de cuentas a nivel global, poniendo en jaque la privacidad y la seguridad de las comunicaciones cifradas en sectores críticos y en la sociedad en general.

#### 2. Contexto del Incidente

Según el boletín publicado por la Oficina Federal de Investigación (FBI), estas campañas han escalado en complejidad y volumen desde finales de 2023, coincidiendo con el incremento de tensiones geopolíticas y una agudización de los ciberataques patrocinados por estados. Las aplicaciones de mensajería instantánea cifrada, tradicionalmente percibidas como seguras, se han convertido en un objetivo prioritario para grupos de amenazas persistentes avanzadas (APT), en especial aquellos vinculados a servicios de inteligencia extranjeros.

La motivación principal radica en el acceso a información confidencial, intercepción de conversaciones sensibles y obtención de credenciales que pueden permitir movimientos laterales en infraestructuras corporativas y gubernamentales. El FBI alerta que los ataques no distinguen entre usuarios particulares y profesionales del sector público o privado, lo que multiplica el riesgo de fuga de datos y compromete la integridad de las comunicaciones.

#### 3. Detalles Técnicos

La campaña identificada se basa en técnicas de phishing dirigidas (spear phishing) y ataques de ingeniería social apoyados en la explotación de debilidades humanas más que técnicas. Según fuentes del FBI y compañías de ciberseguridad colaboradoras, los atacantes emplean mensajes fraudulentos que suplantan la identidad de los propios servicios de mensajería o de contactos legítimos previamente comprometidos.

– **Vectores de ataque**: Los usuarios reciben enlaces a páginas clonadas de Signal o WhatsApp, en las que se les solicita la introducción de códigos de autenticación o credenciales de acceso bajo pretextos de actualización de seguridad o verificación de cuenta.
– **Explotación de CVE**: No se han detectado vulnerabilidades específicas (CVE) en las aplicaciones en sí, sino en la forma en que los usuarios gestionan la autenticación multifactor (MFA) y los flujos de recuperación de cuenta.
– **TTP (MITRE ATT&CK)**: El ataque se alinea con técnicas TA0001 (Initial Access), T1192 (Spearphishing Link), TA0006 (Credential Access) y T1110 (Brute Force).
– **Herramientas y frameworks**: Se ha observado la utilización de kits de phishing personalizados y automatización mediante herramientas como Evilginx2 para interceptar tokens de sesión y bypass de MFA.
– **Indicadores de Compromiso (IoC)**: Dominios de phishing con ligeras variaciones ortográficas respecto a los originales, direcciones IP asociadas a infraestructuras conocidas de grupos APT como APT29 (Cozy Bear), y patrones de tráfico anómalos hacia servidores ubicados fuera de la UE.

#### 4. Impacto y Riesgos

El alcance de la campaña es significativo: miles de cuentas comprometidas, principalmente en Europa y América, según estimaciones del FBI y de la firma Mandiant. Muchas de estas cuentas pertenecen a empleados de organismos gubernamentales y empresas de sectores estratégicos, incluyendo energía, defensa y telecomunicaciones.

Los riesgos identificados incluyen:

– **Intercepción de conversaciones cifradas** mediante secuestro de cuenta.
– **Acceso a datos sensibles** y posibles movimientos laterales hacia otros sistemas internos.
– **Pérdida de reputación y sanciones**: Posible exposición a multas bajo el RGPD si se filtran datos personales de ciudadanos europeos.
– **Efecto cascada**: Utilización de cuentas comprometidas para lanzar ataques adicionales (BEC, ransomware, espionaje industrial).

#### 5. Medidas de Mitigación y Recomendaciones

El FBI y expertos en ciberseguridad recomiendan una serie de acciones inmediatas:

– **Verificación en dos pasos (2FA)**: Preferentemente a través de aplicaciones autenticadoras y no SMS.
– **Revisión de accesos y sesiones activas** en las aplicaciones de mensajería.
– **Educación y concienciación**: Formación periódica sobre ingeniería social y phishing dirigida a todos los usuarios, con simulacros realistas.
– **Monitorización de IoC**: Integración de los dominios y direcciones IP identificadas en los sistemas SIEM y EDR corporativos.
– **Política de acceso mínimo**: Limitar el uso de mensajería cifrada a canales y dispositivos corporativos gestionados.
– **Actualización de protocolos de recuperación de cuenta**: Restringir la posibilidad de restablecimiento sin validación adicional.

#### 6. Opinión de Expertos

Especialistas como Dmitry Smilyanets (Recorded Future) y Costin Raiu (Kaspersky) subrayan que «la seguridad percibida en apps cifradas puede convertirse en una falsa sensación de protección si los vectores humanos no están adecuadamente protegidos». Recomiendan reforzar no sólo la tecnología, sino también los procesos y la cultura de ciberseguridad en toda la organización.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente pone en evidencia la necesidad de revisar políticas BYOD, segmentar flujos de comunicación y evaluar la exposición de empleados y directivos en aplicaciones externas. El incumplimiento de normativas como el RGPD o la inminente NIS2 puede acarrear sanciones económicas de hasta el 4% de la facturación anual global.

Los usuarios particulares deben extremar la precaución ante enlaces sospechosos, desconfiar de solicitudes inesperadas y utilizar siempre los canales oficiales para cualquier gestión de seguridad.

#### 8. Conclusiones

El reciente aviso del FBI confirma la evolución de las tácticas de grupos APT hacia la explotación de aplicaciones de mensajería cifrada mediante ingeniería social avanzada. Ni siquiera las plataformas más seguras son inmunes si el eslabón humano no está debidamente protegido. El refuerzo de la autenticación, la monitorización proactiva y la concienciación continua emergen como pilares fundamentales para mitigar el riesgo en el actual panorama de amenazas.

(Fuente: www.bleepingcomputer.com)