La Oficina Federal para la Protección de la Constitución de Alemania (también conocida como Bundesamt für Verfassungsschutz o BfV) y la Oficina Federal de Seguridad de la Información (BSI) han emitido una advertencia conjunta sobre una cibercampaña maliciosa emprendida por un posible actor de amenazas patrocinado por el estado que implica llevar a cabo ataques de suplantación de identidad a través de la aplicación de mensajería Signal.

«La atención se centra en objetivos de alto rango en la política, el ejército y la diplomacia, así como en los periodistas de investigación en Alemania y Europa», dijeron las agencias dijo . «El acceso no autorizado a las cuentas de mensajería no solo permite el acceso a comunicaciones privadas confidenciales, sino que también puede comprometer redes enteras».

Un aspecto destacable de la campaña es que no implica la distribución de malware ni la explotación de ninguna vulnerabilidad de seguridad en la plataforma de mensajería centrada en la privacidad. Más bien, el objetivo final es utilizar como arma sus funciones legítimas para obtener un acceso encubierto a los chats de la víctima, así como a sus listas de contactos.

La cadena de ataque es la siguiente: los actores de la amenaza se disfrazan de «Signal Support» o de un chatbot de soporte llamado «Signal Security ChatBot» para iniciar un contacto directo con posibles objetivos, instándolos a proporcionar una ALFILER o código de verificación recibido por SMS, o corre el riesgo de perder datos.

adsense

Si la víctima cumple, los atacantes pueden registrar la cuenta y acceder al perfil, la configuración, los contactos y la lista de bloqueos de la víctima a través de un dispositivo y número de teléfono móvil bajo su control. Si bien el PIN robado no permite el acceso a las conversaciones pasadas de la víctima, un agresor puede usarlo para capturar los mensajes entrantes y enviar mensajes haciéndose pasar por la víctima.

El usuario objetivo, que ya ha perdido el acceso a su cuenta, recibe instrucciones del actor de amenazas disfrazado de chatbot de soporte para que se registre en una nueva cuenta.

También existe una secuencia de infección alternativa que aprovecha la opción de vinculación de dispositivos para engañar a las víctimas para que escaneen un código QR, lo que les permite a los atacantes acceder a la cuenta de la víctima, incluidos los mensajes de los últimos 45 días, en un dispositivo gestionado por ellos.

Sin embargo, en este caso, las personas objetivo siguen teniendo acceso a su cuenta, sin darse cuenta de que sus chats y listas de contactos ahora también están expuestos a los actores de amenazas.

Las autoridades de seguridad advirtieron que, si bien el enfoque actual de la campaña parece ser Signal, el ataque también se puede extender a WhatsApp, ya que también incorpora similares enlace de dispositivos y funciones de PIN como parte de verificación en dos pasos .

«El acceso exitoso a las cuentas de mensajería no solo permite ver las comunicaciones individuales confidenciales, sino que también puede comprometer redes enteras a través de chats grupales», dijeron BfV y BSI.

Si bien no se sabe quién está detrás de la actividad, varios grupos de amenazas alineados con Rusia han orquestado ataques similares rastreados como Star Blizzard , UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185) , según informes de Microsoft y Google Threat Intelligence Group de principios del año pasado.

En diciembre de 2025, Gen Digital también detallada otra campaña con el nombre en código GhostPairing, en la que los ciberdelincuentes han recurrido a la función de enlace de dispositivos de WhatsApp para hacerse con el control de las cuentas y, probablemente, hacerse pasar por usuarios o cometer fraude.

Para mantenerse protegidos contra la amenaza, se recomienda a los usuarios que se abstengan de utilizar las cuentas de soporte e introducir su PIN de Signal como mensaje de texto. Una línea de defensa crucial es habilitar el bloqueo de registro, que evita que usuarios no autorizados registren un número de teléfono en otro dispositivo. También se recomienda revisar periódicamente la lista de dispositivos vinculados y eliminar cualquier dispositivo desconocido.

El desarrollo se produce como Gobierno noruego acusó a los grupos de hackers respaldados por China, entre ellos Tifón salino , de irrumpir en varias organizaciones del país explotando dispositivos de red vulnerables y, al mismo tiempo, denunciando a Rusia por vigilar de cerca los objetivos militares y las actividades de sus aliados, y a Irán por vigilar a los disidentes.

Al afirmar que los servicios de inteligencia chinos intentan reclutar a ciudadanos noruegos para acceder a datos clasificados, el Servicio de Seguridad Policial de Noruega (PST) señaló que luego se alienta a estas fuentes a establecer sus propias redes de «fuentes humanas» anunciando puestos a tiempo parcial en bolsas de trabajo o contactando con ellas a través de LinkedIn.

enlaces

La agencia advirtió además que China está explotando «sistemáticamente» los esfuerzos colaborativos de investigación y desarrollo para fortalecer sus propias capacidades de seguridad e inteligencia. Vale la pena señalar que Derecho chino exige que las vulnerabilidades de software identificadas por investigadores chinos se notifiquen a las autoridades a más tardar dos días después de su descubrimiento.

«Los actores de ciberamenazas iraníes comprometen las cuentas de correo electrónico, los perfiles de las redes sociales y las computadoras privadas que pertenecen a los disidentes para recopilar información sobre ellos y sus redes», dijo PST dijo . «Estos actores tienen capacidades avanzadas y continuarán desarrollando sus métodos para llevar a cabo operaciones cada vez más específicas e intrusivas contra personas en Noruega».

La divulgación sigue a un aviso de CERT Polska, que evaluó que un grupo de hackers de un estado-nación ruso llamado Tundra estática es probable que esté detrás de ciberataques coordinados dirigidos a más de 30 parques eólicos y fotovoltaicos, a una empresa privada del sector manufacturero y a una gran planta combinada de calor y energía (CHP) que suministra calor a casi medio millón de clientes en el país.

«En cada instalación afectada, había un dispositivo FortiGate que servía tanto de concentrador de VPN como de firewall», dijo. «En todos los casos, la interfaz VPN estaba expuesta a Internet y permitía la autenticación de las cuentas definidas en la configuración sin necesidad de una autenticación multifactorial».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.