Hackers vinculados al Estado ruso apuntan a funcionarios y periodistas con phishing en Signal y WhatsApp

Introducción

En las últimas semanas, se ha detectado una campaña activa de ciberataques dirigida a funcionarios gubernamentales, personal militar y periodistas a través de plataformas de mensajería cifrada como Signal y WhatsApp. El origen de estos ataques se atribuye a grupos de amenazas persistentes avanzadas (APT) respaldados por el Estado ruso, conocidos por su sofisticación y persistencia. Esta operación tiene como objetivo comprometer la confidencialidad de las comunicaciones sensibles mediante técnicas de phishing diseñadas específicamente para sortear las protecciones de estas aplicaciones.

Contexto del Incidente

La campaña fue identificada por equipos de inteligencia de amenazas de varias firmas de ciberseguridad, así como por agencias gubernamentales europeas y estadounidenses. Los atacantes han focalizado sus esfuerzos en perfiles de alto valor: funcionarios de gobiernos occidentales, miembros de fuerzas armadas y periodistas de investigación, todos ellos usuarios habituales de Signal y WhatsApp para la transmisión de información sensible. Este vector de ataque representa una evolución en las tácticas tradicionales de phishing, adaptándose a los nuevos hábitos de comunicación segura en entornos críticos.

Detalles Técnicos

El modus operandi de los actores de amenazas se basa en el envío de mensajes personalizados a través de canales legítimos de Signal y WhatsApp. Utilizan técnicas de ingeniería social para suplantar la identidad de colegas, superiores o fuentes de confianza. Los mensajes contienen enlaces maliciosos o archivos adjuntos diseñados para capturar credenciales de acceso, tokens de sesión o, en algunos casos, instalar malware en dispositivos móviles.

Hasta el momento, se han identificado exploits que aprovechan vulnerabilidades documentadas en las integraciones web y en la gestión de enlaces de ambas aplicaciones, aunque no se ha confirmado la explotación de CVEs específicos en las versiones actuales (Signal v6.19.3+, WhatsApp v2.23.10+). Sí se ha observado el uso de herramientas como Metasploit y frameworks personalizados para el despliegue de payloads que permiten la extracción de bases de datos locales de mensajes, el secuestro de sesiones y la interceptación de comunicaciones cifradas.

En cuanto a las TTP (Tácticas, Técnicas y Procedimientos) observadas, se alinean con las matrices MITRE ATT&CK:
– TA0001 (Initial Access): Phishing via Service (T1566.003)
– TA0006 (Credential Access): Credential Dumping (T1003)
– TA0009 (Collection): Input Capture (T1056.001)
– TA0011 (Command and Control): Application Layer Protocol (T1071.001)

Entre los principales Indicadores de Compromiso (IoC) figuran dominios de phishing registrados recientemente, direcciones IP asociadas a infraestructura APT29 (Cozy Bear), y hashes de archivos maliciosos distribuidos en la campaña.

Impacto y Riesgos

Se estima que, en la primera oleada de ataques, aproximadamente el 12% de los objetivos han interactuado con los mensajes maliciosos, comprometiendo potencialmente información sensible y conversaciones protegidas bajo el principio de cifrado de extremo a extremo. El acceso no autorizado a datos estratégicos puede derivar en filtraciones de inteligencia, manipulación de la información y exposición de fuentes. En términos económicos, los costes asociados a la gestión y remediación de incidentes de este tipo pueden superar los 500.000 euros por organización afectada, sin contar el daño reputacional y la posible exposición a sanciones por incumplimiento de la GDPR y la directiva NIS2.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan implementar las siguientes acciones para mitigar el riesgo de ataques similares:
– Formación continua en ingeniería social y phishing dirigida a usuarios críticos.
– Restricción del uso de aplicaciones de mensajería a dispositivos corporativos gestionados y actualizados.
– Activación de la verificación en dos pasos (2FA) y alertas de inicio de sesión en todas las cuentas.
– Despliegue de soluciones EDR/MDR con capacidad de análisis de tráfico cifrado en dispositivos móviles.
– Monitorización activa de IoC relacionados y actualización constante de blocklists en gateways de correo y mensajería.
– Auditoría periódica de permisos y revisiones de los logs de acceso a aplicaciones de mensajería.

Opinión de Expertos

Analistas de empresas como Mandiant y Recorded Future subrayan que “el uso de plataformas cifradas por parte de los atacantes demuestra una rápida adaptación a las tendencias de comunicación segura”. Coinciden en que las campañas de phishing dirigidas a Signal y WhatsApp marcan un punto de inflexión en la guerra de la información, donde la confianza depositada en aplicaciones populares puede convertirse en un vector de ataque si no se acompaña de buenas prácticas de ciberseguridad.

Implicaciones para Empresas y Usuarios

Para las organizaciones, la exposición a este tipo de amenazas implica la necesidad de revisar en profundidad sus políticas de BYOD (Bring Your Own Device) y de seguridad móvil, así como reforzar la concienciación de los usuarios frente a ataques de phishing altamente personalizados. Los usuarios, incluso los más experimentados, deben extremar la precaución y comprobar la autenticidad de cualquier comunicación inesperada, especialmente si solicita acciones inmediatas o datos sensibles.

Conclusiones

La campaña de phishing atribuida a actores estatales rusos contra usuarios de Signal y WhatsApp evidencia la sofisticación y persistencia de las amenazas avanzadas en el panorama actual. La explotación de la confianza en aplicaciones cifradas exige una revisión constante de las estrategias de defensa, formación y respuesta ante incidentes, especialmente en sectores críticos y entornos de alta sensibilidad. La colaboración intersectorial, la actualización tecnológica y la vigilancia proactiva son, más que nunca, imprescindibles para mitigar los riesgos emergentes.

(Fuente: www.bleepingcomputer.com)