- Cibercampaña global atribuida a actores vinculados a Rusia contra cuentas de WhatsApp y Signal.
- Uso de phishing, ingeniería social y suplantación de chatbots de soporte para robar códigos y PIN.
- Objetivo principal: militares, funcionarios, periodistas y perfiles de alto interés estratégico en Europa.
- Servicios de inteligencia recomiendan reforzar la seguridad digital y revisar dispositivos vinculados.
Las aplicaciones de mensajería cifrada como Signal y WhatsApp se han convertido en herramientas habituales para compartir información privada y comunicaciones sensibles, tanto en el ámbito personal como profesional. Su promesa de cifrado de extremo a extremo ha generado una sensación de seguridad que, sin embargo, no las blinda frente a todos los riesgos.
Los servicios de inteligencia de Países Bajos han encendido ahora las alarmas al hacer pública una cibercampaña a escala global, atribuida a actores vinculados con el Gobierno ruso, cuyo objetivo es tomar el control de cuentas de estas plataformas sin necesidad de explotar fallos técnicos. En lugar de atacar la tecnología, los atacantes están centrando sus esfuerzos en el eslabón más débil: el usuario.
Una campaña de espionaje digital con foco en Europa
Según han confirmado el Servicio General de Inteligencia y Seguridad (AIVD) y el Servicio de Inteligencia y Seguridad Militar (MIVD) de Países Bajos, esta operación persigue infiltrarse en cuentas de WhatsApp y Signal de militares, funcionarios públicos, periodistas y otras figuras de interés estratégico. Empleados del propio gobierno neerlandés figuran ya entre los objetivos y las víctimas.
Las agencias describen la ofensiva como una operación cibernética de alcance internacional, con especial interés en países europeos que juegan un papel relevante en el contexto geopolítico actual. El apoyo de Países Bajos a Ucrania, su peso como nodo de datos y transporte en Europa y la presencia de instituciones como la Corte Penal Internacional en La Haya incrementan su atractivo para los servicios de inteligencia rusos.
Los investigadores apuntan a que la finalidad de la campaña es acceder a conversaciones en tiempo real, interceptar intercambios de información clasificada o delicada y anticipar movimientos políticos, militares o diplomáticos. No se trata solo de leer chats personales: el objetivo es captar datos con valor estratégico.
La popularidad de WhatsApp y Signal en entornos gubernamentales y mediáticos, impulsada por su cifrado de extremo a extremo, ha convertido estas herramientas en un canal muy atractivo para operaciones de espionaje. Paradójicamente, esa reputación de seguridad puede llevar a que se compartan por estos medios datos que, según los expertos, no deberían circular nunca por mensajería instantánea.
Método principal: ingeniería social y phishing, no fallos técnicos
Una de las claves que subrayan los servicios de inteligencia neerlandeses es que no se ha detectado un fallo de seguridad en WhatsApp ni en Signal. Las aplicaciones, según recalcan, no han sido comprometidas como sistemas. El ataque se dirige contra usuarios concretos mediante técnicas de phishing e ingeniería social.
En lugar de introducir malware sofisticado o aprovechar vulnerabilidades del sistema operativo, los atacantes optan por tácticas de engaño: mensajes diseñados para convencer a la víctima de que entregue voluntariamente sus códigos y contraseñas. Es, básicamente, un robo de cuentas con apariencia de trámite rutinario.
La directora general de la AIVD, Simone Smit, resume este enfoque en una idea clara: la amenaza «no reside en que Signal o WhatsApp hayan sido vulneradas como plataformas, sino en que los usuarios son persuadidos para entregar llaves de acceso a sus propias cuentas». De este modo, la seguridad técnica queda anulada cuando se sortean las barreras a través del factor humano.
Los servicios neerlandeses insisten en que esta campaña encaja en un patrón más amplio de ciberespionaje ruso frente a objetivos europeos, en el que se combinan intrusiones en infraestructuras críticas, ataques contra organismos públicos y operaciones más discretas sobre perfiles individuales que manejan información de interés.
El vicealmirante Peter Reesink, director del servicio de inteligencia militar, ha recalcado que las aplicaciones de chat cifrado, pese a su nivel de protección, no deben considerarse canales apropiados para información altamente sensible, como documentos clasificados o datos estratégicos de defensa.
Suplantación de chatbots de soporte y robo de códigos SMS
Entre las técnicas descritas con más detalle por AIVD y MIVD destaca la suplantación del soporte técnico de las aplicaciones, en especial en el caso de Signal. Los atacantes se presentan como un supuesto chatbot oficial que alerta al usuario de «actividad sospechosa» en su cuenta, posible fuga de datos o intentos de acceso no autorizados.
El mensaje suele incluir indicaciones muy concretas: se solicita a la víctima que comparta el código de verificación que va a recibir por SMS y, en algunos casos, también el PIN de la aplicación, con el pretexto de «verificar la identidad» o «proteger la cuenta». Todo ello se comunica con un tono de urgencia para presionar al usuario.
Una vez que la persona facilita ese código, que en realidad está siendo generado para registrar la cuenta en otro dispositivo, el atacante puede reasociar el número de teléfono a un terminal bajo su control. Si además consigue el PIN, tiene vía libre para completar el proceso y tomar el control del perfil.
En ese momento, el ciberdelincuente puede leer los mensajes entrantes, participar en conversaciones, acceder a chats grupales y listas de contactos e, incluso, modificar el número al que se envían en adelante los códigos de seguridad. El usuario legítimo puede acabar bloqueado o sin capacidad real de recuperar la cuenta.
Las autoridades han detectado también casos en los que los atacantes se hacen pasar por compañeros de trabajo o contactos de confianza que piden ayuda para «recuperar una cuenta» o «confirmar un inicio de sesión». Bajo esa apariencia de normalidad, el objetivo es el mismo: lograr que la víctima les reenvíe el código de verificación de seis dígitos.
Códigos QR y dispositivos vinculados: el acceso silencioso
Otro de los vectores de ataque señalados en el informe neerlandés se apoya en las funciones de dispositivos vinculados que ofrecen tanto WhatsApp como Signal para usar la cuenta en ordenadores, tablets u otros móviles. Esta utilidad, pensada para dar comodidad, puede convertirse en una puerta trasera si se manipula con astucia.
En estos casos, los atacantes envían a la víctima un código QR o un enlace aparentemente legítimo, a menudo con la excusa de unirse a un grupo profesional, participar en una reunión o confirmar la identidad en un nuevo dispositivo. El usuario, confiado, escanea el código o pulsa en el enlace.
Detrás de esa acción aparentemente inocua puede ocultarse la vinculación de un dispositivo controlado por los hackers a la cuenta de la víctima. A partir de entonces, el intruso puede ver los mensajes en tiempo real y seguir la actividad de los chats sin necesidad de expulsar al usuario legítimo ni de generar una señal clara de alarma.
Esta técnica resulta especialmente peligrosa porque permite un espionaje sostenido en el tiempo: el afectado puede seguir utilizando su cuenta con normalidad, mientras un tercero observa silenciosamente las conversaciones privadas y profesionales, incluidas aquellas que se referían a temas sensibles.
Por ello, las agencias de inteligencia aconsejan revisar de forma periódica la lista de dispositivos vinculados tanto en WhatsApp como en Signal, y desconectar cualquier acceso que no se reconozca o que genere dudas. Es una sencilla comprobación que puede cortar de raíz un seguimiento prolongado.
Objetivos prioritarios: militares, funcionarios y periodistas
La alerta neerlandesa pone el foco en un grupo concreto de perfiles especialmente expuestos a este tipo de maniobras. Los ciberatacantes estarían concentrando sus esfuerzos en personal militar, empleados públicos, cargos políticos, analistas y periodistas, tanto en Países Bajos como en otros países europeos.
En el caso neerlandés, los servicios de inteligencia han confirmado que empleados del gobierno figuran entre las personas cuya información pudo verse comprometida. No se ha detallado el contenido exacto de los datos a los que habrían accedido los intrusos, pero se asume que podrían incluir conversaciones sobre cuestiones de seguridad, defensa o política exterior.
La presencia de periodistas entre los objetivos indica, además, un interés por monitorizar coberturas mediáticas, identificar fuentes y anticipar publicaciones sensibles. Los reporteros que trabajan en temas de defensa, política internacional o seguridad nacional se encuentran, por tanto, en una posición de riesgo particular.
Según el informe anual del MIVD, el papel de Países Bajos en el apoyo a Ucrania y su relevancia como hub logístico y digital en Europa le han colocado en el punto de mira de los servicios rusos. Esta campaña contra cuentas de mensajería se enmarca en un contexto más amplio de presión e injerencias en el ciberespacio europeo.
Los servicios de inteligencia subrayan que no solo los altos cargos están expuestos: cualquier empleado público o profesional con acceso a información interna, aunque no sea clasificada, puede convertirse en una pieza valiosa dentro de una operación de recopilación de datos.
Recomendaciones clave para usuarios de WhatsApp y Signal
Ante la magnitud de la campaña, las autoridades neerlandesas han difundido una batería de recomendaciones prácticas orientadas a reducir el riesgo de secuestro de cuentas y filtración de información sensible. La primera es tajante: nunca se deben compartir códigos de verificación, PIN ni claves de acceso a través de mensajería, ni siquiera si el mensaje parece venir del soporte oficial; cumplir esto es esencial para recuperar tu cuenta de WhatsApp en caso de incidentes.
También se aconseja desconfiar de enlaces y códigos QR que lleguen sin contexto claro, especialmente si prometen acceso a grupos exclusivos, reuniones, documentos o procesos de verificación. Ante la duda, es preferible comprobar la petición por otro canal (una llamada telefónica, un correo corporativo verificado o comunicación interna oficial).
Otra pauta relevante es revisar con frecuencia los dispositivos que figuran como conectados a la cuenta en las opciones de cada aplicación, y eliminar cualquier acceso que resulte sospechoso. En entornos de trabajo sensibles, los servicios neerlandeses recomiendan limitar el número de dispositivos vinculados al mínimo imprescindible.
Los expertos también recomiendan activar funciones adicionales de seguridad, como el bloqueo de registro en Signal o la verificación en dos pasos en WhatsApp, que añaden una capa extra de protección frente a intentos de registro no autorizados. Además, se sugiere usar un PIN de 6 dígitos para endurecer el acceso. También señalan que los mensajes temporales pueden ayudar a reducir el volumen de información almacenada en los historiales de chat.
En el terreno organizativo, los servicios de inteligencia aconsejan evitar el envío de contenido clasificado o altamente sensible por estas aplicaciones, incluso aunque estén cifradas, y fomentar programas de concienciación para que los empleados reconozcan mejor los intentos de phishing y manipulación psicológica.
Una amenaza que combina técnica y psicología
Los especialistas europeos en ciberseguridad coinciden en que lo más preocupante de esta campaña no es tanto la tecnología utilizada como la capacidad para explotar debilidades humanas. La ingeniería social sigue siendo, con diferencia, uno de los métodos más eficaces para vulnerar sistemas que, sobre el papel, están bien protegidos.
Los atacantes estudian el comportamiento de las víctimas, analizan sus rutinas de comunicación y construyen mensajes que imitan el tono y el estilo de fuentes de confianza, como compañeros, responsables de área o servicios de soporte. Esa apariencia de normalidad, sumada a la presión del tiempo o al miedo a perder el acceso a la cuenta, empuja a muchas personas a tomar decisiones precipitadas.
Además, el hecho de que Signal y WhatsApp tengan fama de ser «muy seguras» puede generar una sensación de confianza excesiva, lo que facilita que se relajen ciertas precauciones. Cuando se asume que el canal es seguro por defecto, es más probable que se compartan por ahí datos que, en otros contextos, se transmitirían solo por vías oficiales o más controladas.
Los servicios de inteligencia neerlandeses recuerdan que la seguridad de una comunicación no depende únicamente del cifrado, sino también de decisiones como quién tiene acceso al dispositivo, cómo se gestionan los códigos de verificación o qué tipo de información se envía por cada canal.
En este escenario, la educación digital y la capacidad de detectar señales de alarma —desde mensajes que piden códigos hasta contactos duplicados o cambios extraños en la cuenta— se convierten en un complemento imprescindible a las medidas técnicas. Además, conviene vigilar posibles señales de spyware que puedan indicar una intrusión más profunda en dispositivos.
La ofensiva atribuida a actores rusos contra cuentas de WhatsApp y Signal muestra hasta qué punto las aplicaciones de mensajería cifrada se han situado en el centro de la batalla del ciberespionaje. Aunque las plataformas mantengan sus mecanismos de protección intactos, una combinación de presión psicológica, phishing y abuso de funciones legítimas como los dispositivos vinculados basta para poner en jaque conversaciones de gran valor estratégico. Para usuarios, gobiernos y organizaciones en toda Europa, el mensaje de los servicios de inteligencia es claro: la tecnología ayuda, pero la verdadera muralla de seguridad se construye a base de prudencia, verificación constante y sentido crítico ante cualquier petición inusual.
