- Servicios de inteligencia neerlandeses alertan de una campaña global de hackers rusos contra cuentas de WhatsApp y Signal.
- Los ataques no explotan fallos técnicos, sino la ingeniería social para robar códigos y vincular dispositivos.
- Militares, altos cargos públicos, funcionarios y periodistas europeos figuran entre los principales objetivos.
- Las autoridades recomiendan no usar estas apps para información clasificada y refuerzan medidas básicas de ciberseguridad.
Una campaña de ciberataques orquestada desde Rusia mantiene en alerta a los servicios de inteligencia europeos tras confirmarse que múltiples cuentas de WhatsApp y Signal están siendo comprometidas. Los atacantes, vinculados al Estado ruso según las autoridades neerlandesas, se centran en perfiles con acceso a información sensible, aprovechando trucos y engaños para tomar el control de las cuentas sin necesidad de vulnerar el cifrado.
El epicentro de la alerta se sitúa en Países Bajos, aunque el alcance de la operación es claramente internacional y afecta de lleno al entorno europeo. Los servicios de inteligencia holandeses advierten de que altos cargos públicos, personal militar, funcionarios y periodistas se encuentran entre los objetivos prioritarios de esta campaña, que busca obtener datos estratégicos, conversaciones privadas y acceso a grupos de chat donde se comparte información delicada.
Advertencia de los servicios de inteligencia neerlandeses
La voz de alarma ha sido lanzada de forma conjunta por el Servicio General de Inteligencia y Seguridad (AIVD) y el Servicio de Inteligencia y Seguridad Militar (MIVD). Ambos organismos describen una «cibercampaña global» dirigida contra cuentas de WhatsApp y Signal pertenecientes a personas potencialmente interesantes para el Gobierno ruso, entre ellas empleados de la Administración neerlandesa, mandos militares y profesionales con acceso a documentación sensible.
Según estos servicios, los hackers rusos han logrado acceder a cuentas de mensajería de funcionarios y militares de Países Bajos y han podido consultar información sensible intercambiada a través de estas aplicaciones. La preocupación es mayor en el caso de Signal, una plataforma ampliamente percibida como muy segura y utilizada en numerosos entornos institucionales europeos para comunicaciones que se consideran más delicadas.
Las autoridades subrayan que el interés de los atacantes en Países Bajos responde tanto al apoyo activo del país a Ucrania como a la presencia en su territorio de instituciones internacionales clave como la Corte Penal Internacional (CPI) o la Organización para la Prohibición de las Armas Químicas (OPAQ), además de grandes compañías tecnológicas con operaciones en toda Europa.
En este contexto, los servicios de inteligencia insisten en que WhatsApp y Signal, pese a su popularidad, no deben emplearse para transmitir información clasificada, confidencial o especialmente sensible. El director del MIVD, Peter Reesink, remarca que estas aplicaciones no son canales adecuados para datos de alto nivel, por muy robusto que sea su cifrado.
La amenaza real: el problema no es la app, es el usuario
Uno de los puntos que más inquietan a los expertos es que los atacantes no han roto el cifrado de extremo a extremo ni han explotado vulnerabilidades técnicas en el código de las apps. En lugar de eso, se apoyan en técnicas de ingeniería social para engañar a los usuarios y conseguir que ellos mismos les abran la puerta, lo que convierte a cualquier persona poco precavida en el verdadero eslabón débil de la cadena.
El mensaje de los servicios de inteligencia es claro: el hecho de que una aplicación tenga cifrado fuerte no inmuniza frente a errores humanos. Si un atacante consigue hacerse pasar por un servicio oficial, convencer al usuario para que comparta un código de seguridad o lograr que se vincule un dispositivo adicional, el blindaje del cifrado deja de servir, porque el intruso pasa a formar parte del entorno de confianza de la cuenta.
Este enfoque encaja con advertencias previas en otros países occidentales, donde ya se alertaba de que la excesiva confianza en la tecnología puede generar una falsa sensación de seguridad. La campaña rusa confirmada por las autoridades neerlandesas viene a demostrar que, sin unos mínimos hábitos de higiene digital, incluso las herramientas más seguras se vuelven vulnerables.
Algo similar se aplica a instituciones europeas, gobiernos y empresas que usan estas plataformas de mensajería para comunicarse a diario. Aunque muchas dependencias oficiales han adoptado Signal y WhatsApp por su comodidad y aparente protección, los servicios de inteligencia recalcan que estos canales no están diseñados para gestionar secretos de Estado ni documentos confidenciales, por mucho que se hayan popularizado en la administración electrónica.
Cómo operan los hackers rusos en WhatsApp y Signal
Los informes del AIVD y el MIVD describen una serie de tácticas recurrentes que los hackers rusos utilizan para hacerse con el control de las cuentas. No hablamos de ataques sofisticados a nivel de código, sino de estrategias de phishing y engaño cuidadosamente adaptadas al funcionamiento de cada aplicación.
En el caso de WhatsApp, los atacantes envían enlaces falsos o códigos QR fraudulentos que invitan a la víctima a unirse a un grupo, verificar su cuenta en un supuesto nuevo dispositivo o “reactivar” la aplicación por motivos de seguridad. Cuando la persona pincha en el enlace o escanea el código, en realidad está autorizando a los ciberdelincuentes a vincular su cuenta a otro dispositivo, desde el que estos pueden leer mensajes, ver la lista de contactos y vigilar chats grupales.
Una vez logran esta vinculación silenciosa, los atacantes pueden consultar conversaciones privadas, revisar números de teléfono de los contactos y seguir de cerca la actividad en grupos de trabajo. Además, tienen la posibilidad de enviar mensajes haciéndose pasar por la víctima, lo que amplifica el riesgo de intrusión en cadenas de confianza, especialmente en grupos profesionales o institucionales.
En Signal, la técnica descrita con más detalle es aún más directa: los ciberdelincuentes se hacen pasar por un supuesto chatbot de soporte o servicio de atención al cliente. En estos mensajes, advierten al usuario de supuestas “actividades sospechosas” o de problemas de seguridad en su cuenta y le piden que facilite el código de verificación recibido por SMS y el PIN de la aplicación.
Si la víctima comparte esos datos, los atacantes pueden tomar el control completo de la cuenta de Signal, cambiar el número asociado y, en algunos casos, recuperar el historial reciente o entrar en los grupos donde participe ese usuario. El problema se agrava si se trata de chats de trabajo en ministerios, cuarteles, organismos internacionales o redacciones periodísticas, porque la información intercambiada suele ser especialmente sensible.
Ingeniería social, dispositivos vinculados y señales de intrusión
Las autoridades neerlandesas insisten en que la clave del ataque está en la ingeniería social: los delincuentes aprovechan las funciones legítimas de las aplicaciones, como la vinculación de varios dispositivos o la verificación por SMS, para engañar a los usuarios y “colarse” sin levantar sospechas. En la práctica, el atacante no fuerza una puerta cerrada, sino que convence al usuario para que se la abra creyendo que está hablando con el soporte oficial.
Una de las funcionalidades que más explotan es la de dispositivos vinculados, presente tanto en WhatsApp como en Signal. Al lograr que la víctima apruebe una solicitud de vinculación, el dispositivo del atacante se suma a la lista de equipos autorizados, lo que le permite recibir y leer todos los mensajes sin que el usuario perciba cambios visibles en su móvil principal.
Para ayudar a detectar posibles intrusiones, los servicios de inteligencia han publicado varias señales de alerta a las que conviene prestar atención. Entre ellas, se encuentran la aparición de cuentas duplicadas con nombres muy parecidos a los de contactos reales, la presencia de usuarios desconocidos en grupos que deberían ser cerrados o el hecho de que ciertos contactos pasen a aparecer como “Cuenta eliminada” sin una explicación clara.
Otra recomendación básica es revisar periódicamente la sección de dispositivos vinculados en la configuración de cada app. Si el usuario detecta algún ordenador, tablet o móvil que no reconoce, debe cerrar sesión de inmediato en ese dispositivo. Esta comprobación, que apenas lleva unos segundos, puede marcar la diferencia entre mantener el control de la cuenta o entregar la puerta de entrada a un tercero.
Los servicios de inteligencia recuerdan, además, que el servicio de soporte de Signal no contacta con los usuarios a través de la propia aplicación. Cualquier mensaje que asegure proceder de “atención al cliente” dentro de un chat de Signal debería considerarse sospechoso y potencialmente fraudulento, ya que forma parte del patrón utilizado en esta campaña.
Recomendaciones oficiales para usuarios en España y Europa
La advertencia lanzada desde Países Bajos tiene implicaciones directas para el resto de países europeos, incluida España, donde WhatsApp se ha convertido en una herramienta de comunicación casi omnipresente, tanto en el ámbito personal como profesional. Las autoridades subrayan que no se trata solo de un problema local, sino de una operación de ciberespionaje con alcance global que se apoya en el uso masivo de estas plataformas.
Entre las pautas de seguridad más destacadas figura la de no utilizar WhatsApp ni Signal para compartir información clasificada o extremadamente confidencial, especialmente en el caso de funcionarios, militares, asesores gubernamentales y profesionales con acceso a documentos sensibles. Para ese tipo de comunicaciones, las instituciones deberían recurrir a herramientas específicas revisadas por sus departamentos de seguridad.
En el terreno más cotidiano, los servicios de inteligencia recomiendan no hacer clic en enlaces sospechosos ni escanear códigos QR que lleguen por sorpresa, aunque parezcan proceder de un contacto conocido o de un supuesto canal oficial. También recuerdan que los códigos de verificación de seis dígitos que envían WhatsApp y Signal por SMS son estrictamente personales y no deben compartirse nunca con nadie, ni siquiera si se presenta como personal de soporte.
Otra medida esencial es la de eliminar de inmediato perfiles desconocidos que aparezcan en grupos cerrados, sobre todo en chats vinculados a la Administración, empresas, colegios profesionales o medios de comunicación. Si el administrador del grupo ha sido comprometido, las autoridades aconsejan abandonar el chat y crear uno nuevo desde una cuenta segura, verificando de forma independiente la identidad de cada miembro antes de añadirlo.
Para las instituciones europeas y los organismos que trabajan en Bruselas, Estrasburgo, La Haya o Madrid, la recomendación va un paso más allá: conviene revisar qué tipo de información se está canalizando por aplicaciones de mensajería y establecer políticas internas claras sobre qué se puede y qué no se puede enviar por estos medios, reduciendo así la superficie de ataque que pueden explotar los ciberdelincuentes.
Buenas prácticas de ciberseguridad para minimizar el riesgo
Aunque la campaña de hackers rusos tiene un componente claramente geopolítico, buena parte de su éxito depende de hábitos de uso muy extendidos. Las autoridades neerlandesas insisten en que con unas pocas medidas de precaución se pueden frustrar muchos de estos intentos de intrusión en cuentas de WhatsApp y Signal.
Una de las primeras acciones recomendadas es revisar y limpiar periódicamente los dispositivos vinculados en ambas aplicaciones. Si el usuario no reconoce alguno de los equipos listados, debe cerrar su sesión de inmediato. Este sencillo paso actúa como una especie de “cortafuegos” personal que bloquea accesos no autorizados.
También se aconseja activar medidas adicionales de seguridad en las cuentas, como el bloqueo con PIN o la verificación en dos pasos. En Signal, por ejemplo, es posible configurar un PIN de registro que impide que alguien registre el número de teléfono desde otro dispositivo sin ese código. En WhatsApp existe una función similar de verificación en dos pasos que añade una segunda capa de protección más allá del SMS inicial.
Los expertos resaltan la importancia de formar a los usuarios para reconocer el phishing. Entender que ningún soporte legítimo pedirá códigos de verificación por chat, que los enlaces pueden estar manipulados aunque el remitente parezca fiable y que los códigos QR no son inocuos, ayuda a frenar la gran mayoría de estos ataques antes de que causen daño.
Por último, los servicios de inteligencia recomiendan adoptar una mentalidad de cautela permanente: si un mensaje genera dudas, mejor verificar por otra vía (llamada telefónica, correo oficial, contacto directo) antes de facilitar cualquier dato o seguir instrucciones que afecten a la seguridad de la cuenta. Esta actitud, aplicada de forma constante, reduce considerablemente la eficacia de las campañas de ingeniería social.
Todo lo que se está conociendo sobre esta operación de hackers rusos contra cuentas de WhatsApp y Signal confirma que el cifrado, por sí solo, no basta para proteger la privacidad ni los intereses estratégicos de usuarios y organizaciones en Europa. Mientras los atacantes continúen explotando los despistes y la confianza excesiva en la tecnología, la mejor defensa pasa por combinar las herramientas disponibles en las aplicaciones con buenas prácticas de seguridad digital y un uso más crítico y prudente de estas plataformas, tanto en la esfera personal como en la institucional.