Cuando pensamos en aplicaciones como Signal o WhatsApp, la primera palabra que viene a la mente es privacidad. Ambas plataformas han cimentado su reputación en el cifrado de extremo a extremo, una promesa de que ni siquiera las propias compañías pueden leer nuestros mensajes. Millones de personas confían en esta robusta seguridad para sus comunicaciones más íntimas, profesionales e incluso delicadas. Sin embargo, los servicios de inteligencia de Países Bajos nos recuerdan que ninguna fortaleza es impenetrable cuando el ataque no busca romper las paredes, sino engañar a quien abre la puerta.

Recientemente, los servicios de inteligencia militar (MIVD) y general de seguridad (AIVD) neerlandeses han emitido una advertencia global. Han detectado una sofisticada campaña de ciberataques cuyo objetivo es comprometer cuentas de Signal y WhatsApp a nivel mundial. Lo más inquietante es que estos ataques no dependen de la explotación de fallos técnicos ni del uso de malware, como el infame Pegasus. En su lugar, los atacantes, presuntamente vinculados a actores rusos, se valen de la astucia humana: el phishing y la ingeniería social.

Los objetivos de esta campaña son claros y preocupantes: dignatarios, funcionarios públicos y personal militar. Las autoridades neerlandesas han confirmado que incluso empleados de su propio gobierno han sido víctimas y blanco de estos intentos. Además, el informe sugiere que otros perfiles de interés para el gobierno ruso, como periodistas, también se encuentran en el punto de mira. Es una operación que busca acceder a información sensible, burlando las defensas tecnológicas a través de la manipulación psicológica del usuario.

¿Cómo lo hacen? Una de las tácticas más empleadas es la "toma de control de cuenta" (account take-over). Los atacantes se hacen pasar por el soporte oficial de la aplicación y envían mensajes alarmantes sobre supuestas actividades sospechosas o intentos de acceso no autorizados. A continuación, solicitan a la víctima que complete un proceso de verificación, pidiéndole el código SMS de un solo uso o el PIN de la aplicación. Si la víctima cae en la trampa y comparte esta información, el atacante puede reasociar la cuenta a su propio número, ganando control total.

Otra técnica descrita en el informe utiliza trucos con códigos QR y dispositivos vinculados. Los ciberdelincuentes convencen al usuario para que escanee un código QR o haga clic en un enlace aparentemente legítimo, quizás con la excusa de unirse a un grupo. Este QR o enlace está diseñado para vincular el dispositivo del atacante a la cuenta de la víctima, aprovechando las funciones de multidispositivo que ofrecen las aplicaciones. Una vez conectado, el atacante puede espiar conversaciones, ver parte del historial y enviar mensajes en nombre del usuario, sin que este pierda el control inmediato de su cuenta.

Ante este panorama, los servicios de inteligencia ofrecen recomendaciones vitales. Nunca se deben compartir códigos de verificación o PIN por mensaje, ni siquiera si la solicitud parece venir del soporte oficial. Es crucial desconfiar de enlaces o códigos QR de fuentes desconocidas y siempre verificar las solicitudes por un canal alternativo y seguro. Además, revisar periódicamente los dispositivos vinculados a nuestras cuentas y eliminar cualquier conexión sospechosa es una medida preventiva fundamental. Activar el bloqueo de registro en Signal y alertar a los contactos si se sospecha de una intrusión son pasos adicionales para salvaguardar nuestra privacidad digital. En esta era, nuestra mejor defensa sigue siendo nuestra propia vigilancia y educación en ciberseguridad.