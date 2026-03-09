Cuando pensamos en aplicaciones como Signal o WhatsApp solemos asociarlas de inmediato con la idea de privacidad. Ambas se han construido sobre una promesa muy clara: el cifrado de extremo a extremo impide que terceros, incluidas las propias compañías, puedan leer los mensajes de los usuarios. Ese modelo de seguridad ha hecho que millones de personas confíen en estas plataformas para conversaciones personales, profesionales e incluso sensibles. Sin embargo, esa protección no significa que las cuentas estén completamente a salvo. Los servicios de inteligencia de Países Bajos han advertido ahora de una campaña global que busca comprometer cuentas de estas aplicaciones sin utilizar malware ni explotar fallos técnicos.

Los objetivos. El servicio de inteligencia militar (MIVD) y el servicio general de inteligencia y seguridad (AIVD) señalan que los ataques buscan acceder a cuentas pertenecientes a dignatarios, funcionarios públicos y personal militar. Las autoridades también reconocen que empleados del Gobierno de Países Bajos han sido tanto objetivo como víctimas de estos intentos. Además, el informe indica que otros perfiles que puedan resultar de interés para el Gobierno ruso, como periodistas, también podrían estar entre los destinatarios de este tipo de ataques.

Ingeniería social en lugar de software espía. A diferencia de otros episodios de espionaje digital que han afectado a servicios de mensajería en el pasado, la campaña descrita por los servicios neerlandeses no depende de malware ni de la explotación de fallos técnicos. El informe explica que los atacantes recurren principalmente a phishing y a técnicas de ingeniería social para conseguir acceso a las cuentas. Esa diferencia es relevante si se compara con herramientas como Pegasus, el famoso software espía capaz de infiltrarse en teléfonos móviles. En este caso, el objetivo no es comprometer el sistema del teléfono, sino aprovechar el comportamiento del usuario para tomar el control de su cuenta o vincular un dispositivo ajeno.

“Account take-over”. Uno de los métodos es la toma directa del control de la cuenta. Los atacantes, explican en el informe, se hacen pasar por el equipo oficial de soporte de la aplicación y envían mensajes a la víctima alertando de supuestas actividades sospechosas, posibles filtraciones de datos o intentos de acceso a su cuenta. A partir de ahí solicitan que el usuario complete un proceso de verificación y comparta el código que recibe por SMS, así como el PIN configurado en la aplicación. Si la víctima facilita esos datos, el actor malicioso puede tomar el control de la cuenta y llegar a reasociarla a un número bajo su control.

El truco de los QR y los dispositivos vinculados. El informe también describe una segunda vía de acceso que no implica necesariamente que la víctima pierda el control inmediato de su cuenta. En este caso, los atacantes recurren a técnicas de ingeniería social para convencer al usuario de que escanee un código QR o haga clic en un enlace aparentemente legítimo, por ejemplo con la excusa de unirse a un grupo de chat. Ese QR o enlace puede estar diseñado para vincular el dispositivo del atacante a la cuenta de la víctima mediante las funciones de dispositivos vinculados de las aplicaciones. Una vez conectado, el atacante puede acceder a las conversaciones y, según la plataforma y el modo de acceso, llegar a ver mensajes en curso o incluso parte del historial, además de poder enviar mensajes en nombre del usuario.

Qué recomiendan los servicios de inteligencia. El informe también incluye varias recomendaciones prácticas para reducir el riesgo de este tipo de ataques. Las autoridades advierten de que nunca se deben compartir códigos de verificación o el PIN de la cuenta a través de mensajes, incluso si la solicitud parece provenir del servicio de soporte de la aplicación. También recomiendan desconfiar de enlaces o códigos QR enviados por contactos desconocidos y verificar siempre estas solicitudes por otro canal antes de interactuar con ellas. Otra medida importante consiste en revisar periódicamente la lista de dispositivos vinculados a la cuenta y eliminar cualquier dispositivo que no sea reconocido. El documento añade además otras medidas útiles, como activar el bloqueo de registro en Signal y avisar a los contactos por otra vía si existe la sospecha de que la cuenta ha sido comprometida.

