La Agencia de Ciberseguridad y Seguridad de Infraestructuras ha emitido una alerta advirtiendo que los operadores comerciales de spyware están apuntando a plataformas de mensajería para desplegar exploits de cero clic en dispositivos personales. La agencia informa que los atacantes se han centrado en individuos de alto valor, incluidos funcionarios gubernamentales, miembros de la sociedad civil y altos cargos del sector privado. Según el aviso, se están utilizando programas de mensajería cifrada como canales de entrega porque los atacantes pueden manipular las funciones de dispositivos vinculados y las herramientas de recuperación de cuentas.
CISA afirmó que la actividad reciente involucró WhatsApp, Signal y Telegram. Según el aviso, los actores amenazantes están utilizando vulnerabilidades de cero clic y técnicas de ingeniería social que les permiten comprometer dispositivos sin ninguna interacción de la víctima. Una vez dentro de un dispositivo, los operadores pueden desplegar cargas útiles adicionales para ampliar el acceso, recopilar datos o monitorizar comunicaciones. La agencia señaló que estas operaciones se han observado en múltiples regiones y reflejan el interés continuo en el espionaje dirigido a dispositivos móviles.
Técnicas y objetivos identificados
El aviso señala que muchas víctimas desempeñan roles relacionados con la diplomacia, la defensa o la toma de decisiones políticas. Investigadores del Grupo de Inteligencia de Amenazas de Google y de la Unidad 42 de Palo Alto identificaron campañas en las que actores vinculados a Rusia usaron la función de dispositivos vinculados de Signal para reflejar cuentas y desplegar spyware. Los atacantes también han utilizado mensajes de phishing y códigos QR maliciosos para conectar los dispositivos objetivo con la infraestructura del atacante. Estos métodos permiten a los operadores establecer el control mediante características diseñadas para proporcionar comodidad al usuario.
CISA informó que los atacantes a veces se hacen pasar por servicios legítimos de mensajería para convencer a las víctimas de que aprueben enlaces fraudulentos de dispositivos. Otras técnicas incluyen aprovechar flujos de recuperación de cuentas para insertar información controlada por el atacante. Tras obtener acceso, los operadores pueden observar intercambios privados, extraer credenciales o instalar herramientas de persistencia que permanecen activas tras los reinicios del dispositivo. El aviso explica que estas tácticas reducen la probabilidad de detección y aumentan la duración del acceso no autorizado.
CISA advirtió que los programas de mensajería cifrada no eliminan la exposición cuando los atacantes explotan funciones como la vinculación de dispositivos o mecanismos de recuperación. Los objetivos de alto valor enfrentan un mayor riesgo porque sus dispositivos personales suelen contener material sensible relacionado con funciones profesionales. La agencia observó que las plataformas de mensajería se han convertido en puntos estratégicos de interés para intrusiones porque los atacantes ven las comunicaciones privadas como fuentes valiosas de inteligencia.
El aviso recomienda que los usuarios verifiquen todos los dispositivos vinculados dentro de sus programas de mensajería y eviten escanear códigos QR ni aprobar solicitudes de conexión de fuentes desconocidas. CISA dirigió a los usuarios a la guía incluida en la Guía de Mejores Prácticas de Comunicaciones Móviles para personas de alto valor y a un recurso adicional para grupos de la sociedad civil que operan con recursos limitados. Se anima a los usuarios a activar las opciones de autenticación más potentes disponibles, revisar la actividad de las cuentas y eliminar asociaciones de dispositivos no reconocidos.
Los analistas de seguridad afirmaron que el cambio hacia métodos de cero clic indica que los atacantes están invirtiendo en técnicas que eluden las protecciones comunes. Según el aviso, las personas que manejan información sensible deberían considerar la seguridad de los dispositivos personales como una parte esencial de su estrategia operativa más amplia de riesgos. Las plataformas de mensajería siguen atrayendo el interés de actores maliciosos que buscan acceso a conversaciones privadas, listas de contactos y credenciales de autenticación.