AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Meta elimina millones de cuentas de WhatsApp vinculadas a centros de estafa en una ofensiva global

admin

Introducción

El mes de agosto de 2025 estuvo marcado por una serie de incidentes significativos en el ámbito de la ciberseguridad, destacando la acción de Meta al eliminar millones de cuentas de WhatsApp asociadas a redes de fraude. Paralelamente, Europa fue testigo de ataques dirigidos a infraestructuras críticas como plantas de tratamiento de agua, poniendo en evidencia la creciente sofisticación y coordinación de las amenazas a nivel global. Este artículo desglosa los aspectos técnicos y estratégicos de estos eventos, proporcionando un análisis detallado orientado a profesionales del sector.

Contexto del Incidente o Vulnerabilidad

Meta Platforms, la empresa matriz de WhatsApp, anunció a mediados de agosto la eliminación de aproximadamente 6,7 millones de cuentas en su plataforma de mensajería. Estas cuentas estaban vinculadas a operaciones de scam centers, principalmente ubicados en el sudeste asiático, África y Europa del Este, aunque con ramificaciones internacionales. El objetivo principal de estas cuentas era ejecutar campañas masivas de phishing, fraude de inversiones y estafas de ingeniería social, muchas de ellas aprovechando técnicas de suplantación de identidad y manipulación de confianza.

Simultáneamente, diversas autoridades europeas informaron de múltiples incidentes en plantas de tratamiento de agua, donde actores maliciosos explotaron vulnerabilidades en sistemas SCADA y OT (Tecnología Operativa), empleando ataques de ransomware y accesos no autorizados para alterar procesos críticos.

Detalles Técnicos

En el caso de WhatsApp, las investigaciones internas de Meta identificaron patrones de comportamiento automatizado y el uso de APIs no documentadas para la creación y gestión masiva de cuentas. Se detectaron scripts personalizados y botnets que explotaban proxies y servicios VPN para evadir controles de geolocalización y sistemas de verificación telefónica. Los actores utilizaron técnicas asociadas al marco MITRE ATT&CK®, en especial TA0006 (Credential Access), TA0009 (Collection) y TA0001 (Initial Access).

Por otra parte, los ataques a infraestructuras de agua se apoyaron en vulnerabilidades conocidas como CVE-2024-28756 (buffer overflow en módulos PLC Siemens S7) y CVE-2025-11209 (falla de autenticación en interfaces web SCADA). Se han observado ataques que combinan el uso de herramientas como Cobalt Strike para movimientos laterales y Metasploit para la explotación inicial. Los IoC reportados incluyen direcciones IP de origen en Rusia y China, hashes de payloads relacionados con variantes recientes de ransomware industrial (EKANS/Snake) y patrones de tráfico anómalo en los puertos TCP/502 y TCP/443.

Impacto y Riesgos

La eliminación masiva de cuentas fraudulentas en WhatsApp ha supuesto un duro golpe para las redes de scam centers, que según estimaciones de Europol, generaban ingresos ilícitos superiores a los 350 millones de euros anuales solo en la UE. Sin embargo, la resiliencia de estos actores y la facilidad para automatizar la creación de nuevas cuentas siguen representando un riesgo latente.

En cuanto a los ataques a plantas de agua, el impacto se tradujo en breves interrupciones del servicio, potenciales manipulaciones de parámetros de potabilización y exposición de datos críticos de operación. Estos incidentes evidencian la interdependencia entre ciberseguridad y continuidad de negocio en el sector industrial, así como riesgos asociados al cumplimiento normativo bajo el marco NIS2 y la GDPR, especialmente en lo relativo a la notificación de brechas y la protección de infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

Meta ha reforzado los sistemas de detección de actividad anómala, incorporando machine learning para identificar patrones de creación y uso sospechoso de cuentas, así como la verificación multifactor obligatoria para cuentas empresariales. Se recomienda a los administradores de sistemas implementar soluciones de monitorización de logs y alertas ante eventos inusuales, así como revisar las configuraciones de privacidad y seguridad en canales de comunicación corporativos.

Para el sector de infraestructuras críticas, las recomendaciones incluyen la segmentación de redes IT/OT, la actualización inmediata de sistemas afectados por CVE-2024-28756 y CVE-2025-11209, el despliegue de EDRs específicos para entornos industriales y la realización periódica de pruebas de penetración y ejercicios de respuesta a incidentes. Es esencial reforzar la formación de operadores en ciberseguridad y asegurar el cumplimiento de los requisitos NIS2.

Opinión de Expertos

Especialistas de la ENISA y del CERT-EU advierten que la ofensiva de Meta, aunque significativa, es solo el primer paso en una lucha continua contra el fraude digital, subrayando la importancia de la cooperación público-privada. Por su parte, expertos en ciberseguridad industrial destacan el creciente uso de TTPs avanzadas en ataques a infraestructuras críticas, reclamando mayores inversiones en tecnología de detección y respuesta.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar sus políticas de uso de aplicaciones de mensajería y fortalecer los controles de acceso, especialmente en entornos BYOD. Los usuarios, tanto corporativos como particulares, deben extremar la precaución ante mensajes sospechosos y validar cualquier comunicación relativa a inversiones o transferencias.

En el sector industrial, la ciberseguridad debe integrarse como un componente esencial de la gestión de riesgos, incluyendo auditorías regulares y simulacros de incidentes. El incumplimiento de las obligaciones bajo NIS2 y GDPR puede acarrear sanciones económicas significativas y un daño reputacional irreversible.

Conclusiones

La ofensiva de Meta y los ataques a infraestructuras críticas en Europa durante agosto de 2025 ilustran una escalada en la complejidad y el impacto de las amenazas cibernéticas. La respuesta efectiva exige una combinación de tecnología avanzada, formación continua y colaboración internacional, especialmente en sectores estratégicos y servicios esenciales.

(Fuente: www.welivesecurity.com)