Hackers respaldados por Rusia han llevado a cabo una campaña cibernética dirigida a cuentas en Signal y WhatsApp utilizadas por funcionarios gubernamentales, personal militar y periodistas, según agencias de inteligencia neerlandesas.
La advertencia fue emitida por el Servicio General de Inteligencia y Seguridad y el Servicio de Inteligencia y Seguridad Militar, dos organismos de inteligencia en los Países Bajos responsables de la seguridad nacional y militar. Las agencias dijeron que los atacantes intentaron acceder a cuentas de mensajería mediante técnicas de ingeniería social que persuadieron a los usuarios para revelar información de autenticación.
Según las agencias, las víctimas fueron contactadas a través de mensajes de chat iniciados por los atacantes. Los mensajes solicitaban códigos de verificación o PINs usados para proteger las cuentas de mensajería. Si se compartían, estos códigos permitían a los atacantes acceder a cuentas personales y conversaciones grupales asociadas.
Las agencias afirmaron que la operación se dirigía a individuos de varios sectores, incluyendo personal gubernamental, miembros del ejército y periodistas. Entre los afectados por la campaña se vieron empleados del gobierno neerlandés.
En un comunicado conjunto, las agencias afirmaron que probablemente los atacantes obtuvieron información sensible a través de las cuentas comprometidas. El comunicado señaló que las plataformas de mensajería cifrada son ampliamente utilizadas por los funcionarios para intercambiar información confidencial, lo que las convierte en objetivo de intentos de recopilación de inteligencia.
Uno de los métodos utilizados en la campaña consistió en hacerse pasar por un chatbot de soporte en Signal. Los atacantes se hicieron pasar por representantes de soporte técnico y pidieron a los usuarios que compartieran códigos de autenticación. Una vez proporcionado el código, los atacantes podían tomar el control de la cuenta.
Las agencias también informaron del uso de la función de dispositivos vinculados de Signal. Esta función permite acceder a una cuenta de mensajería desde dispositivos adicionales tras un proceso de emparejamiento. Al aprovechar esta función, los atacantes podían conectar sus propios dispositivos a la cuenta de la víctima y recibir mensajes enviados a la cuenta.
Los funcionarios indicaron que varios indicadores podrían sugerir que una cuenta ha sido comprometida. Estas incluyen contactos duplicados que aparecen en una lista de contactos o números de teléfono que aparecen como “cuenta eliminada”.
El gobierno neerlandés emitió un aviso interno sobre ciberseguridad para informar a los funcionarios sobre la campaña y proporcionar orientación sobre cómo abordar posibles compromisos. Las autoridades informaron que se ofreció ayuda al personal gubernamental que pudiera haberse visto afectado.
WhatsApp, un servicio de mensajería propiedad de Meta Platforms, dijo que los usuarios no deberían compartir sus códigos de verificación de seis dígitos con otras personas. La compañía afirmó que sigue desarrollando medidas diseñadas para proteger a los usuarios de amenazas en línea.
Signal, una aplicación de mensajería cifrada operada por la Signal Foundation, no proporcionó un comentario inmediato en el momento de la información.
El vicealmirante Peter Reesink, director del Servicio de Inteligencia y Seguridad Militar, dijo que no se deben utilizar aplicaciones de mensajería con cifrado de extremo a extremo para transmitir información clasificada o altamente sensible.