Mastodon Mastodon Mastodon Mastodon

SBU denuncia SMS-phishing contra Signal y WhatsApp vinculado a Rusia

Foto del autor

CyberSecureFox Editorial Team

Publicado:

El Servicio de Seguridad de Ucrania (SBU), junto con el FBI, ha descubierto una prolongada operación cibernética que, según el servicio especial ucraniano, está siendo llevada a cabo por los servicios de inteligencia rusos. El objetivo de la campaña es comprometer cuentas en mensajerías — Signal, WhatsApp y otras plataformas — pertenecientes a funcionarios públicos, militares, políticos y activistas en Ucrania, Europa y Estados Unidos. Los atacantes utilizan SMS-phishing haciéndose pasar por bots de servicio de las mensajerías para robar credenciales. Se recomienda a todos los usuarios de mensajerías protegidas, especialmente a quienes están vinculados a estructuras gubernamentales y militares, que comprueben de inmediato las sesiones activas y habiliten la autenticación de dos factores.

Mecanismo del ataque: SMS-phishing haciéndose pasar por soporte técnico

Según informa la SBU, los ciberdelincuentes envían a las víctimas mensajes SMS disfrazados de notificaciones del bot oficial de soporte de la mensajería. Los mensajes incitan a los usuarios a revelar las credenciales de sus cuentas: códigos de confirmación, PIN o claves de recuperación.

Este método de ingeniería social resulta eficaz por varios motivos:

  • El canal SMS se percibe por parte de los usuarios como más fiable que el correo electrónico
  • La imitación de un bot oficial de la mensajería crea una ilusión de legitimidad
  • El tono de urgencia en la redacción de los mensajes reduce la capacidad crítica de quienes los reciben

La SBU subraya que los ataques se dirigen no solo contra organizaciones, funcionarios y figuras públicas, sino también contra las cuentas personales de ciudadanos ucranianos de a pie. Esto pone de manifiesto el carácter a gran escala de la operación, en la que los contactos personales pueden utilizarse como puntos de entrada para acceder a objetivos de mayor valor.

Contexto de la amenaza y atribución

La SBU ha vinculado directamente la campaña con los servicios especiales rusos, aunque no ha mencionado a ningún grupo de hackers concreto. Cabe señalar que el FBI, según la información disponible, también relaciona la campaña de phishing en curso, dirigida contra mensajerías comerciales, con estructuras de inteligencia rusas, aunque en las fuentes accesibles no se ha presentado un documento público inicial del FBI al respecto: este detalle debe tomarse con cautela hasta que exista una confirmación oficial por parte del organismo estadounidense.

Paralelamente, CERT-UA informó de una campaña separada, aunque relacionada temáticamente, de phishing dirigido contra organizaciones gubernamentales ucranianas. Esta operación se atribuye al grupo UNC1151 (también conocido como Ghostwriter y UAC-0057), al que se vincula con Bielorrusia. Los atacantes utilizaron cuentas comprometidas para distribuir software malicioso — el infostealer OYSTERBLUES.

El conjunto de estos acontecimientos demuestra una presión coordinada sobre la infraestructura de comunicaciones de las estructuras estatales ucranianas desde varios frentes a la vez.

Evaluación del impacto

La compromisión de mensajerías representa una amenaza crítica para varias categorías de usuarios:

  • Militares y sector de defensa — fuga de información operativa, coordenadas y planes
  • Funcionarios gubernamentales — acceso a correspondencia políticamente y económicamente sensible
  • Activistas y periodistas — exposición de fuentes, contactos y planes de actividad
  • Ciudadanos de a pie — uso de sus cuentas como eslabones intermedios para atacar objetivos de mayor relevancia

En el contexto de un conflicto armado activo, la interceptación de comunicaciones militares a través de mensajerías puede tener consecuencias directas en el campo de batalla. Las mensajerías, inicialmente presentadas como canales de comunicación seguros, se convierten en un objetivo prioritario precisamente porque los usuarios confían a estas plataformas la información más sensible.

Recomendaciones prácticas

Para reducir los riesgos de comprometer cuentas en mensajerías, es necesario llevar a cabo las siguientes acciones:

  1. Auditoría de sesiones activas — revise la lista de dispositivos vinculados en los ajustes de la mensajería (Signal: Ajustes → Dispositivos vinculados; WhatsApp: Ajustes → Dispositivos vinculados). Desconecte de inmediato cualquier sesión desconocida
  2. Active la autenticación de dos factores — habilite el PIN de registro en Signal y la verificación en dos pasos en WhatsApp
  3. No comparta nunca los códigos de verificación — ningún servicio legítimo solicita códigos de verificación, PIN o claves de recuperación por SMS ni por chat
  4. No escanee códigos QR procedentes de fuentes no verificadas — un código QR puede utilizarse para vincular su cuenta al dispositivo de un atacante
  5. Ignore los enlaces sospechosos — no haga clic en enlaces ni abra archivos procedentes de chats desconocidos o dudosos
  6. Forme e informe a su personal — para las organizaciones: transmita al personal información sobre la actual campaña de SMS-phishing, incluyendo ejemplos concretos de suplantación de bots de soporte técnico

Dado que la campaña continúa y abarca varios países, la prioridad de respuesta es alta. La comprobación de las sesiones activas y la configuración de la autenticación de dos factores deben realizarse en las próximas 24 horas, especialmente por parte de los usuarios vinculados a estructuras estatales, militares o de la sociedad civil. A las organizaciones se les recomienda considerar el uso de soluciones corporativas gestionadas para el intercambio de mensajes, con control centralizado de las sesiones, cuando las mensajerías se utilicen para comunicaciones de servicio.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.