La Oficina Federal Alemana para la Protección de la Constitución (también conocida como Bundesamt für Verfassungsschutz o BfV) y la Oficina Federal para la Seguridad de la Información (BSI) han emitido una advertencia conjunta sobre una campaña cibernética maliciosa llevada a cabo por un probable actor de amenazas patrocinado por el estado, incluida la realización de ataques de phishing contra la aplicación de mensajería Signal.
«La atención se centra en los periodistas de investigación en Alemania y Europa, así como en objetivos políticos, militares y diplomáticos de alto nivel», dijo la agencia. «El acceso no autorizado a su cuenta de Messenger no sólo puede otorgar acceso a comunicaciones privadas confidenciales, sino que también puede poner en riesgo toda su red».
Lo notable de esta campaña es que no implica distribuir malware ni explotar vulnerabilidades de seguridad en plataformas de mensajería centradas en la privacidad. Más bien, el objetivo final es utilizar sus capacidades legítimas como arma para obtener acceso encubierto a los chats de la víctima y su lista de contactos.
La cadena de ataque es la siguiente: los atacantes se hacen pasar por chatbots de soporte llamados «Signal Support» o «Signal Security ChatBot» e inician contacto directo con objetivos potenciales, solicitándoles que proporcionen un PIN o un código de verificación recibido por SMS o corren el riesgo de pérdida de datos.
Si la víctima obedece, el atacante puede registrar una cuenta y obtener acceso al perfil, la configuración, los contactos y las listas de bloqueo de la víctima a través de un dispositivo controlado o un número de teléfono móvil. Aunque un PIN robado no proporciona acceso a las conversaciones pasadas de la víctima, un actor de amenazas podría usarlo para capturar mensajes entrantes y enviar mensajes haciéndose pasar por la víctima.
Una vez que un usuario objetivo pierde el acceso a su cuenta, el atacante se hace pasar por un chatbot de soporte y le indica que registre una nueva cuenta.
También hay otra secuencia de infección que aprovecha la opción de enlace en el dispositivo para engañar a la víctima para que escanee un código QR, concediendo así acceso a la cuenta de la víctima (incluidos los mensajes de los últimos 45 días) en el dispositivo controlado por el atacante.
Sin embargo, en este caso, las personas objetivo todavía tienen acceso a sus cuentas, pero no se dan cuenta de que sus chats y listas de contactos también están expuestos a actores de amenazas.
Los funcionarios de seguridad advirtieron que, si bien Signal parece ser el foco del ataque actual, el ataque podría extenderse a WhatsApp, ya que también incluye una funcionalidad similar de enlace de dispositivo y PIN como parte de la autenticación de dos factores.
«El acceso exitoso a una cuenta de Messenger no sólo permite ver comunicaciones personales sensibles, sino también la posibilidad de comprometer toda la red a través de chats grupales», dijeron la BfV y la BSI.
No está claro quién está detrás de esta actividad, pero un informe de Microsoft y Google Threat Intelligence Group a principios del año pasado dijo que ataques similares fueron orquestados por múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).
En diciembre de 2025, Gen Digital también detalló otra campaña con el nombre en código GhostPairing. En esta campaña, los ciberdelincuentes pueden utilizar la función de vinculación de dispositivos de WhatsApp para tomar el control de su cuenta y hacerse pasar por usted o cometer fraude.
Para mantenerse protegido de las amenazas, recomendamos que los usuarios no accedan a su cuenta de soporte ni ingresen su PIN de Signal como mensaje de texto. Una línea de defensa clave es habilitar un bloqueo de registro que impida que usuarios no autorizados registren su número de teléfono en otro dispositivo. También le recomendamos que consulte periódicamente la lista de dispositivos vinculados y elimine los dispositivos desconocidos.
El desarrollo se produce cuando el gobierno de Noruega acusa a los grupos de piratería respaldados por China, incluido Salt Typhoon, de explotar equipos de red vulnerables para infiltrarse en múltiples organizaciones en el país, mientras que Rusia monitorea de cerca los objetivos militares y las actividades de sus aliados, y acusa a Irán de monitorear a los disidentes.
El Servicio de Seguridad de la Policía de Noruega (PST) dijo que los servicios de inteligencia chinos están tratando de reclutar a ciudadanos noruegos para obtener acceso a datos confidenciales, señalando que está alentando a estas fuentes a construir su propia red de «fuentes humanas» anunciando trabajos a tiempo parcial en bolsas de trabajo o acercándose a ellos a través de LinkedIn.
La agencia también advirtió que China está utilizando «sistemáticamente» esfuerzos conjuntos de investigación y desarrollo para fortalecer sus capacidades de seguridad e inteligencia. Tenga en cuenta que la ley china exige que las vulnerabilidades de software identificadas por investigadores chinos se informen a las autoridades dentro de los dos días posteriores al descubrimiento.
«Los ciberatacantes iraníes están comprometiendo cuentas de correo electrónico, perfiles de redes sociales y computadoras personales de disidentes y recopilando información sobre los disidentes y sus redes», dijo PST. «Estos actores de amenazas son muy capaces y seguirán desarrollando técnicas para llevar a cabo operaciones cada vez más selectivas e intrusivas contra personas en Noruega».
La divulgación sigue una recomendación de CERT Polska, que evaluó que un grupo de piratería estatal ruso llamado Static Tundra probablemente estaba detrás de un ciberataque coordinado dirigido a más de 30 parques eólicos y solares, empresas privadas del sector manufacturero y grandes plantas combinadas de calor y energía (CHP) que proporcionan calor a unos 500.000 clientes en el país.
«Cada instalación afectada tenía un dispositivo FortiGate que actuaba como concentrador VPN y firewall», dice el informe. «En ambos casos, la interfaz VPN estuvo expuesta a Internet y permitió la autenticación de cuentas definidas en la configuración sin autenticación multifactor».
Source link
