Los servicios de inteligencia holandeses AIVD y MIVD advierten de que hackers respaldados por el Estado ruso hackers llevando a cabo una campaña a gran escala para piratear cuentas de Signal y WhatsApp de objetivos de alto valor.
Se dice que los objetivos son altos funcionarios, personal militar, funcionarios públicos y periodistas. Los atacantes no están rompiendo el cifrado de extremo a extremo ni explotando una vulnerabilidad en las propias aplicaciones. En su lugar, se basan en métodos probados de phishing e ingeniería social para engañar a los usuarios y que estos les faciliten códigos de verificación y PIN, o para añadir un «dispositivo vinculado» malicioso a su cuenta.
El año pasado informamos sobre GhostPairing, un método que engaña al objetivo para que complete el proceso de emparejamiento de dispositivos de WhatsApp, añadiendo silenciosamente el navegador del atacante como un dispositivo vinculado invisible a la cuenta.
En los casos denunciados por los servicios de inteligencia holandeses, los atacantes se pusieron en contacto con las víctimas a través de Signal o WhatsApp haciéndose pasar por «Signal Security Support Chatbot», «Signal Support» o una cuenta similar que parecía oficial.
El mensaje suele advertir sobre actividades sospechosas o una posible fuga de datos detectada y solicita al usuario que complete un paso de verificación para evitar la pérdida de datos o el bloqueo de su cuenta.
A continuación, se pide a las víctimas que envíen el código de verificación SMS que acaban de recibir y/o su PIN de Signal.
Si la víctima accede, el atacante puede registrar la cuenta en un dispositivo que controle y, de este modo, hacerse con el control de la misma, recibir nuevos mensajes y enviar mensajes en nombre de la víctima.
En una segunda variante, los atacantes abusan de la función «dispositivos vinculados» (la función de escritorio u otro dispositivo secundario de Signal y WhatsApp). Se empuja a los objetivos a hacer clic en un enlace o escanear un código QR que vincula silenciosamente el dispositivo del atacante a la cuenta de la víctima. La víctima mantiene el acceso con normalidad, pero el atacante ahora puede leer en tiempo real sin signos evidentes de compromiso.
Estos ataques no son nuevos, pero merecen una nueva advertencia porque se basan completamente en el comportamiento humano, y comprender cómo funcionan hace que sean más fáciles de detener. Los métodos utilizados no son técnicamente sofisticados y pueden ser fácilmente copiados por actores no estatales o ciberdelincuentes comunes.
Debido a las actuales campañas rusas, la AIVD y la MIVD afirman que las aplicaciones de chat como Signal y WhatsApp no son adecuadas para compartir información gubernamental clasificada, confidencial o sensible, aunque técnicamente admiten el cifrado de extremo a extremo.
Cómo mantener la confidencialidad de tus conversaciones
Una advertencia específica para los usuarios objetivo es que utilicen aplicaciones designadas para la información confidencial. A pesar de que muchos de ellos disponen de sistemas seguros específicos, algunos recurrieron a aplicaciones que ya conocían: Signal y WhatsApp. Y, para ser justos, estas aplicaciones son seguras si se siguen unas cuantas reglas básicas:
Cómo prevenir y detectar cuentas comprometidas
- Nunca compartas códigos de verificación ni números PIN. Tu código de verificación SMS y tu PIN solo son necesarios cuando instalas o vuelves a registrar la aplicación en un dispositivo. Nunca se solicitan legítimamente en un chat. Cualquier mensaje dentro de la aplicación, mensaje directo (DM), correo electrónico o SMS que te pida que envíes estos códigos es un intento de phishing.
- No confíes en las cuentas de «soporte técnico» en el chat. Signal afirma explícitamente que el servicio de soporte técnico nunca se pondrá en contacto contigo a través de mensajes en la aplicación, SMS o redes sociales para pedirte tu código de verificación o PIN. Considera cualquier «bot de soporte técnico de Signal», «chatbot de seguridad» o similar como malicioso, bloquéalo, denúncialo y, a continuación, elimina la conversación.
- Ten cuidado con los enlaces y los códigos QR en el chat. Solo escanea códigos QR o haz clic en enlaces para vincular dispositivos cuando te encuentres en el menú de vinculación de dispositivos de la aplicación y hayas iniciado tú mismo el proceso. Si un mensaje te insta a «verificar tu dispositivo» o «proteger tus datos» a través de un enlace o un código QR, da por hecho que forma parte de esta campaña.
- Revisa periódicamente los dispositivos vinculados y las pertenencias a grupos. En Signal y WhatsApp, comprueba la lista de dispositivos vinculados y elimina cualquier elemento que no reconozcas. También presta atención a los participantes extraños en los grupos o a los contactos duplicados (por ejemplo, «cuenta eliminada» o un contacto que aparece dos veces), que los servicios de inteligencia holandeses mencionan como posibles indicios de compromiso de la cuenta.
- Utilice las funciones de refuerzo integradas. Active opciones como el bloqueo de registro, el PIN de registro y las alertas de cambio de dispositivo para que su cuenta no pueda volver a registrarse de forma silenciosa sin una contraseña adicional. Guarde su PIN en un gestor de contraseñas en lugar de elegir algo fácil de adivinar o reutilizar un código común, para reducir la posibilidad de ingeniería social o espionaje.
Utilizar mensajes que desaparecen
Tanto Signal como WhatsApp admiten mensajes que desaparecen, y su uso puede limitar significativamente el impacto del compromiso de la cuenta o el acceso al dispositivo (aunque no lo impiden por completo).
Los mensajes temporales y los mensajes que desaparecen reducen la cantidad de contenido disponible si un atacante accede a un chat más tarde o si alguien obtiene acceso a largo plazo a un dispositivo o una copia de seguridad. No son una solución completa, pero pueden limitar el daño.
Signal te permite configurar un temporizador por chat para que todos los mensajes nuevos de esa conversación se eliminen automáticamente de todos los dispositivos tras el periodo seleccionado. Puedes activarlo para chats individuales o grupales y elegir entre varias duraciones (desde segundos hasta semanas), y cualquiera de las partes puede ver que está activado y cambiar el temporizador.
WhatsApp también admite mensajes que desaparecen con temporizadores por chat (y una opción predeterminada para los chats nuevos). Los mensajes se pueden eliminar automáticamente después de períodos de tiempo como 24 horas, 7 días o 90 días, y las versiones más recientes incluyen opciones más cortas, como 1 o 12 horas.
Actívalo en la información del chat, en «Mensajes que desaparecen», y luego selecciona el temporizador deseado; solo se verán afectados los mensajes enviados después de activarlo.
Para mensajes multimedia o de voz especialmente sensibles, WhatsApp también ofrece fotos, mensajes de voz y vídeos«para ver una vez», que solo se pueden abrir una vez antes de desaparecer del chat.
Habilitar la autenticación multifactor
Hemos redactado una guía completa sobre cómo configurar la verificación en dos pasos en WhatsApp.
Para configurar la autenticación de dos factores (2FA) en Signal, habilita la función Bloqueo de registro, que requiere tu PIN establecido para iniciar sesión en un nuevo dispositivo. Abre Signal, ve aAjustes > Privacy Bloqueo de registroy actívalo. Esto garantiza que, incluso si alguien te roba la tarjeta SIM, no podrá acceder a tu cuenta sin tu PIN personal.
No nos limitamos a informar sobre la privacidad: le ofrecemos la opción de utilizarla.
Los riesgos Privacy nunca deben ir más allá de un titular. Mantenga su privacidad en línea utilizando Malwarebytes Privacy VPN.
