Las agencias de inteligencia de EE. UU. advierten que la encriptación de extremo a extremo no sirve de nada si los atacantes logran engañar al usuario para vincular un dispositivo fraudulento a su cuenta.
La seguridad de las comunicaciones cifradas está bajo un asedio masivo mediante tácticas de ingeniería social. Este mes de marzo de 2026, se reporta que el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) han emitido una alerta urgente: actores cibernéticos vinculados a los Servicios de Inteligencia Rusos están llevando a cabo campañas masivas de phishing para comprometer cuentas de aplicaciones de mensajería comercial seguras como Signal y WhatsApp.
Objetivos de Alto Valor y Miles de Víctimas
La campaña no busca romper la criptografía subyacente de estas aplicaciones (la cual permanece intacta), sino evadirla atacando directamente al eslabón más débil del ecosistema: el usuario.
- Los ataques están dirigidos meticulosamente a individuos con un alto valor de inteligencia, incluyendo funcionarios actuales y exfuncionarios del gobierno de EE. UU., personal militar, figuras políticas y periodistas a nivel global.
- Las agencias federales estadounidenses confirmaron que este esfuerzo coordinado ya ha resultado en el acceso no autorizado a miles de cuentas individuales de mensajería.
- Este aviso respalda una advertencia similar emitida a principios de mes por los servicios de inteligencia de los Países Bajos (AIVD), quienes también detectaron esta campaña global de espionaje ruso apuntando a las mismas plataformas.
La Táctica: Abuso de “Dispositivos Vinculados”
Los ciberdelincuentes rusos se infiltran en las cuentas enviando mensajes engañosos que se hacen pasar por cuentas de soporte técnico automatizado de la propia aplicación o suplantando a contactos de confianza de la víctima.
- Engañan a los objetivos para que realicen acciones aparentemente rutinarias, como hacer clic en un enlace de soporte, proporcionar códigos de verificación SMS, entregar sus PIN de cuenta o escanear un código QR.
- Si el usuario cae en la trampa, le otorga a los atacantes acceso no autorizado de manera inadvertida al permitirles registrar el dispositivo del criminal como un “dispositivo vinculado” legítimo en la cuenta, o bien sufriendo una toma de control total que expulsa al usuario original de su propio perfil.
- Una vez dentro, los espías pueden leer el historial de mensajes, revisar listas de contactos, enviar mensajes haciéndose pasar por la víctima y lanzar ataques de phishing adicionales contra la red de confianza del objetivo comprometido.
El FBI y CISA enfatizan que la infraestructura y el cifrado de Signal y WhatsApp no han sido vulnerados; la táctica explota una falsa sensación de seguridad de los usuarios, quienes creen que al usar estas aplicaciones están automáticamente protegidos contra cualquier tipo de hackeo.
