La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió el lunes una alerta en la que advertía que los delincuentes utilizaban activamente el spyware comercial y los troyanos de acceso remoto (RAT) para atacar a los usuarios de las aplicaciones de mensajería móvil.
«Estos ciberactores utilizan sofisticadas técnicas de segmentación e ingeniería social para entregar software espía y obtener acceso no autorizado a la aplicación de mensajería de la víctima, lo que facilita el despliegue de cargas maliciosas adicionales que pueden comprometer aún más el dispositivo móvil de la víctima», dijo la agencia dijo .
La CISA citó como ejemplos varias campañas que han salido a la luz desde principios de año. Algunas de ellas incluyen -
- La segmentación de la aplicación de mensajería Signal por parte de varios Actores de amenazas alineados con Rusia aprovechando la función de «dispositivos vinculados» del servicio para secuestrar las cuentas de los usuarios objetivo
- Campañas de spyware para Android con nombre en código ProSpy y ToSpy que se hacen pasar por aplicaciones como Signal y ToTok para dirigirse a los usuarios de los Emiratos Árabes Unidos y entregar malware que establece un acceso persistente a los dispositivos Android comprometidos y filtra los datos
- Una campaña de spyware para Android llamada Rata de arcilla se ha dirigido a usuarios de Rusia que utilizan canales de Telegram y páginas similares de suplantación de identidad haciéndose pasar por aplicaciones populares como WhatsApp, Google Photos, TikTok y YouTube para engañar a los usuarios para que las instalen y roben datos confidenciales
- Una campaña de ataques dirigidos que probablemente encadenó dos fallos de seguridad en iOS y WhatsApp ( CVE-2025-43300 y CVE-2025-55177 ) para dirigirse a menos de 200 usuarios de WhatsApp
- Una campaña de ataque dirigido que implicó la explotación de una falla de seguridad de Samsung (CVE-2025-21042) para lanzar un software espía para Android denominado TOCAR TIERRA a los dispositivos Galaxy de Oriente Medio
La agencia dijo que los actores de amenazas utilizan múltiples tácticas para lograr un compromiso, como vincular los códigos QR de los dispositivos, los exploits sin hacer clic y la distribución de versiones falsas de aplicaciones de mensajería.
La CISA también señaló que estas actividades se centran en personas de alto valor, principalmente funcionarios gubernamentales, militares y políticos de alto rango actuales y anteriores, junto con organizaciones de la sociedad civil e individuos de los Estados Unidos, Medio Oriente y Europa.
Para contrarrestar la amenaza, la agencia insta a las personas más atacadas a: revisar y cumplir a las siguientes mejores prácticas -
- Utilice únicamente comunicaciones cifradas de extremo a extremo (E2EE)
- Habilite la autenticación Fast Identity Online (FIDO) resistente a la suplantación de identidad
- Aléjese de la autenticación multifactor (MFA) basada en el servicio de mensajes cortos (SMS)
- Use un administrador de contraseñas para almacenar todas las contraseñas
- Establezca el PIN de un proveedor de telecomunicaciones para proteger las cuentas de teléfonos móviles
- Actualice el software periódicamente
- Opte por la última versión de hardware del fabricante del teléfono móvil para maximizar los beneficios de seguridad
- No utilice una red privada virtual (VPN) personal
- En los iPhones, habilita el modo de bloqueo, inscríbete en iCloud Private Relay y revisa y restringe los permisos confidenciales de las aplicaciones
- En los teléfonos Android, elige teléfonos de fabricantes con un historial de seguridad sólido, usa solo Rich Communication Services (RCS) si E2EE está habilitado, activa la protección mejorada para una navegación segura en Chrome, asegúrate de que Google Play Protect esté activado y revisa y limita los permisos de las aplicaciones