El FBI emitió un comunicado público en el que advierte que actores maliciosos rusos están llevando a cabo una campaña de phishing en aplicaciones comerciales de mensajería.

La campaña, dirigida por grupos de los Servicios de Inteligencia Rusos (RIS), se dirige principalmente a personas que se considera que tienen un alto valor de inteligencia, tales como funcionarios gubernamentales estadounidenses e internacionales, tanto actuales como anteriores, figuras políticas, miembros de las fuerzas armadas, periodistas y funcionarios ubicados en Ucrania, según informó el FBI en una alerta pública del 26 de junio, en colaboración con la Agencia de Seguridad Cibernética y de Infraestructura.

Una alerta anterior, del 20 de marzo, emitida por la agencia, advertía que ciberespías rusos se hacían pasar por cuentas automatizadas de soporte técnico de aplicaciones de mensajería y enviaban mensajes de phishing a sus objetivos.

Estos mensajes están diseñados para incitar a las víctimas a realizar acciones específicas, como proporcionar códigos de verificación, enviar los PIN de sus cuentas o hacer clic en un enlace. Si las víctimas realizan la acción solicitada, los hackers obtendrán acceso a sus cuentas. Según se informa, los hackers se enfocan específicamente en cuentas de Signal.

Historias relacionadas

Rescatan a 7200 niños víctimas de trata durante el segundo mandato de Trump: FBI

En su última actualización, la agencia advirtió que los actores de RIS ahora están intentando obtener acceso a las claves de recuperación de copias de seguridad de las aplicaciones de mensajería, además de los PIN y los códigos de verificación.

Los actores maliciosos ahora envían mensajes a sus víctimas, pidiéndoles que hagan una copia de seguridad de los datos de la aplicación mediante narrativas de desinformación; por ejemplo, que hackers iraníes o de países postsoviéticos estuvieran hackeando múltiples cuentas de usuarios en la plataforma. A continuación, los actores maliciosos solicitan a las víctimas que proporcionen la clave de recuperación de la copia de seguridad de sus cuentas.

Una vez proporcionados los datos, "los autores de amenazas cibernéticas de RIS pueden ver el historial de mensajes de la cuenta, tanto los mensajes privados como los de grupo, y hacerse con el control de la cuenta de la víctima", señala la alerta.

Además, una vez que la víctima comparte su clave de recuperación de respaldo, "esa misma clave sigue siendo válida incluso si crea una nueva cuenta tras el ataque utilizando el mismo número de teléfono. En consecuencia, el atacante podría utilizar la clave comprometida para hacerse con el control de la nueva cuenta en el futuro también", según la alerta.

Para evitarlo, un usuario cuya cuenta haya sido comprometida debe generar una nueva clave de recuperación de respaldo. Esto invalida la clave anterior para todas las descargas futuras de respaldos.

La alerta instó a los propietarios de dispositivos a "tomar medidas para protegerse", recordando a los usuarios que los servicios de soporte de las aplicaciones de mensajería no envían enlaces para restaurar o verificar sus cuentas. Tampoco solicitarán dichos servicios códigos de verificación dentro de la aplicación. Además, los servicios de soporte se comunican con los usuarios únicamente a través de direcciones de correo electrónico oficiales de la empresa.

La alerta aclaró que RIS solo compromete cuentas individuales en aplicaciones de mensajería y no el cifrado utilizado en estas plataformas ni las aplicaciones en sí mismas. La agencia atribuyó las operaciones de piratería a dos entidades: UNC5792 y UNC4221. El gobierno de EE. UU. ofrece actualmente una recompensa de hasta 10 millones de dólares por información sobre UNC5792.

Mientras tanto, el informe de Evaluación Anual de Amenazas de 2026 de la Comunidad de Inteligencia de EE. UU. señaló que los actores cibernéticos de Rusia representan una "amenaza persistente y avanzada de ciberataques e inteligencia extranjera".

Rusia y China "continúan con sus esfuerzos de investigación y desarrollo, así como de preparación previa, para mejorar sus capacidades de ciberataque de primer nivel con el fin de utilizarlas contra Estados Unidos", señala el informe.

Historias relacionadas

FBI advierte posible ataque con drones explosivos en EE. UU.: “Es solo cuestión de tiempo”

Los grupos vinculados a Moscú se centraron en empresas de defensa que respaldan tecnologías utilizadas en la guerra entre Rusia y Ucrania, especialmente empresas estadounidenses relacionadas con tecnologías de drones.

En marzo, un ciudadano ruso fue condenado a 81 meses de prisión por ayudar a grupos de ciberdelincuencia a llevar a cabo ataques contra empresas estadounidenses y otras organizaciones, según un comunicado del 23 de marzo del Departamento de Justicia.

Más recientemente, el 18 de junio, la Real Policía Montada de Canadá informó que se unió a organismos de seguridad de Estados Unidos y otros países para desmantelar un grupo de ciberdelincuencia ruso acusado de atacar a usuarios de WordPress en todo el mundo.

El grupo de ciberdelincuencia con sede en Rusia responsable del marco de malware utilizado en esta campaña ha sido sancionado por las autoridades estadounidenses. Se alega que el grupo ha causado pérdidas por más de 100 millones de dólares en todo el mundo.