AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Grupos vinculados a la inteligencia rusa comprometen WhatsApp y Signal mediante phishing avanzado**

admin

### 1. Introducción

En un nuevo comunicado conjunto, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) y el Buró Federal de Investigaciones (FBI) de Estados Unidos han alertado sobre una campaña de phishing dirigida por actores vinculados a los servicios de inteligencia rusos. El objetivo principal de estos ataques son aplicaciones de mensajería comercial (CMAs) como WhatsApp y Signal, centrándose en la toma de control de cuentas pertenecientes a individuos de alto valor estratégico, como diplomáticos, periodistas, miembros de ONGs y empleados de empresas tecnológicas sensibles. Este incidente marca un preocupante avance en las tácticas de amenazas persistentes avanzadas (APT) asociadas a la inteligencia rusa, con implicaciones directas sobre la seguridad de las comunicaciones en el ámbito empresarial y gubernamental.

### 2. Contexto del Incidente o Vulnerabilidad

La operación identificada se enmarca en un contexto de creciente hostilidad digital por parte de actores estatales, especialmente en el entorno geopolítico actual. Grupos identificados bajo los seudónimos de APT29 (también conocido como «Cozy Bear») han intensificado su actividad en los últimos meses, explotando la confianza que usuarios depositan en aplicaciones de mensajería cifrada. Según las agencias estadounidenses, la campaña se desarrolla desde principios de 2024 y ha puesto en el punto de mira a usuarios de WhatsApp y Signal que desempeñan roles críticos en organismos públicos y compañías privadas de relevancia estratégica.

Los atacantes aprovechan la proliferación de la comunicación móvil y el uso extendido de aplicaciones cifradas para infiltrarse en conversaciones sensibles, acceder a información confidencial y, potencialmente, realizar movimientos laterales en infraestructuras corporativas.

### 3. Detalles Técnicos

#### Identificadores y Técnicas Utilizadas

– **CVE asociadas**: Aunque no se ha publicado un CVE específico para la vulnerabilidad explotada, los ataques se basan principalmente en ingeniería social y explotación de la recuperación de cuentas por SMS.
– **Vectores de Ataque**:
– Phishing dirigido mediante SMS (smishing), empleando mensajes personalizados que simulan provenir de los equipos de soporte de WhatsApp o Signal.
– Utilización de sitios web falsos que replican los portales de autenticación de las aplicaciones objetivo.
– **TTPs (MITRE ATT&CK)**:
– T1566.001: Spearphishing mediante mensajes de texto.
– T1078: Obtención y uso de credenciales válidas.
– T1110: Fuerza bruta contra mecanismos de autenticación.
– **Indicadores de Compromiso (IoC)**:
– Números de teléfono y dominios registrados recientemente con patrones similares a los oficiales de WhatsApp y Signal.
– IPs asociadas a infraestructura conocida de APT29.
– **Herramientas y frameworks**:
– Se han detectado scripts automatizados para la interceptación de tokens de autenticación y reutilización de las sesiones.
– No se ha reportado uso directo de frameworks como Metasploit o Cobalt Strike en esta campaña específica, aunque sí se ha observado uso de herramientas propias para la gestión y explotación de cuentas comprometidas.

### 4. Impacto y Riesgos

El impacto potencial de esta campaña es significativo. La toma de control de cuentas en aplicaciones de mensajería cifrada puede derivar en:

– Acceso a información confidencial (comunicaciones, contactos, archivos adjuntos).
– Riesgo de ataques posteriores: spearphishing interno, movimientos laterales y escalada de privilegios.
– Compromiso de reputación y confianza de las organizaciones afectadas.
– Impacto en el cumplimiento normativo, especialmente en lo que respecta al RGPD (Reglamento General de Protección de Datos) y la Directiva NIS2, dado el tratamiento de datos personales y la posible filtración de información crítica.

Según datos preliminares, se estima que más de un centenar de cuentas han sido objeto de intentos de compromiso, con una tasa de éxito cercana al 12% en los casos analizados por CISA y el FBI.

### 5. Medidas de Mitigación y Recomendaciones

Las agencias recomiendan una serie de acciones inmediatas y preventivas:

– **Reforzar la autenticación en dos factores (2FA)**, preferiblemente mediante aplicaciones de autenticación y no por SMS.
– **Formación específica en phishing** para los usuarios más expuestos (concienciación sobre smishing y verificación de enlaces).
– **Monitorización** de logs de acceso y actividad sospechosa en aplicaciones de mensajería.
– **Bloqueo proactivo** de dominios y números sospechosos detectados como IoC.
– **Restricción de la recuperación de cuentas** solo a canales previamente validados y bajo supervisión.
– **Actualización periódica** de las políticas de seguridad y respuesta ante incidentes.

### 6. Opinión de Expertos

Expertos en ciberinteligencia, como el equipo de CrowdStrike y analistas de Mandiant, advierten que el uso de ingeniería social personalizada y la explotación de la confianza en canales cifrados representa una evolución en las capacidades ofensivas de los grupos APT rusos. Consideran que la sofisticación y la persistencia en la suplantación de identidades oficiales requieren de un enfoque proactivo y una respuesta coordinada entre equipos de seguridad, SOC y responsables de cumplimiento normativo.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente subraya la necesidad de auditar y reforzar no solo la seguridad de los sistemas internos, sino también de las aplicaciones de comunicación corporativa. Los administradores de sistemas deben revisar las configuraciones de seguridad y las políticas de acceso, mientras que los CISOs deben actualizar los planes de respuesta ante incidentes para incluir escenarios de compromiso de aplicaciones de mensajería.

Para los usuarios, la recomendación es clara: extremar la precaución ante mensajes inesperados, confirmar la veracidad de cualquier solicitud de acceso o recuperación de cuenta y reportar cualquier actividad sospechosa al equipo de seguridad correspondiente.

### 8. Conclusiones

La campaña de phishing avanzada atribuida a actores vinculados a la inteligencia rusa eleva el listón de la amenaza sobre aplicaciones de mensajería cifrada. La explotación de vulnerabilidades humanas mediante smishing y la suplantación de portales oficiales pone de manifiesto la necesidad de una defensa multicapa, combinando tecnología, formación y vigilancia continua. En un contexto regulatorio cada vez más exigente, la prevención y la respuesta ágil son claves para mitigar el riesgo y proteger la información crítica.

(Fuente: feeds.feedburner.com)