Servicios de inteligencia rusos siguen atacando aplicaciones de mensajería: lo que dice la alerta conjunta del FBI y CISA
Contexto de la alerta
El FBI y la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) actualizaron, el pasado 26 de junio, una alerta previa emitida en marzo del mismo año sobre una campaña sostenida de phishing dirigida a aplicaciones comerciales de mensajería (CMA, por sus siglas en inglés). El objetivo declarado de esta operación son personas consideradas de alto valor de inteligencia: funcionarios gubernamentales actuales y antiguos —tanto estadounidenses como de otros países—, personal militar, figuras políticas, periodistas y funcionarios clave que operan en Ucrania.
Según las agencias, la actividad ha sido atribuida a varios clústeres de amenazas vinculados a los servicios de inteligencia rusos (RIS), entre ellos oficiales del Servicio Federal de Seguridad (FSB) adscritos a la Guardia Fronteriza rusa, junto con actores que operarían en nombre de los servicios militares de Rusia. Estas actividades se rastrean públicamente bajo los identificadores UNC5792 y UNC4221.
Un punto que las agencias subrayan con claridad: los atacantes no han vulnerado el cifrado ni la infraestructura de la aplicación de mensajería en sí. Lo que han comprometido son cuentas individuales, mediante técnicas de ingeniería social.
Cómo opera el engaño
La táctica central consiste en hacerse pasar por cuentas de soporte automatizado de la aplicación. Inicialmente, esta suplantación buscaba obtener códigos de verificación y PIN de cuenta. La actualización de junio revela una evolución: ahora los atacantes intentan obtener las claves de recuperación de respaldo (Backup Recovery Keys) de las víctimas.
El mecanismo, en términos generales, funciona así:
- La víctima recibe un mensaje que aparenta provenir del soporte oficial de la aplicación, advirtiendo sobre un supuesto riesgo de pérdida de datos o mensajes.
- Se le induce a activar la función de respaldo de sus conversaciones dentro de la configuración de la app.
- Se le solicita que comparta la clave de recuperación generada, bajo el pretexto de "vincular" o "restaurar" la copia de seguridad.
- Si la víctima entrega esa clave, el atacante puede acceder al historial completo de mensajes —privados y grupales— y, eventualmente, tomar control de la cuenta.
Un dato especialmente delicado que destaca la alerta: si la clave de recuperación queda comprometida, sigue siendo válida incluso si la víctima crea una cuenta nueva con el mismo número telefónico. Es decir, el atacante podría usar esa misma clave para apropiarse de la cuenta nueva más adelante.
La mitigación tiene un límite claro
La alerta es enfática en un punto que conviene resaltar en cualquier capacitación sobre el tema: generar una nueva clave de recuperación desde la configuración de la aplicación invalida la clave anterior para futuras descargas de respaldo. Sin embargo, esto no revierte el hecho de que el atacante ya pudo haber descargado una copia del respaldo original antes de que se generara la nueva clave. La mitigación protege hacia adelante, no hacia atrás.
Señales de alerta para reconocer el engaño
Con base en las recomendaciones oficiales, estas son las señales que deben generar sospecha inmediata:
- Los servicios de soporte legítimos de estas aplicaciones solo se comunican por correo electrónico corporativo oficial, nunca dentro del chat de la propia app.
- Ningún soporte legítimo pedirá un código de verificación dentro de la aplicación.
- Ningún soporte legítimo enviará enlaces para "verificar" o "restaurar" la cuenta.
- Nunca se debe compartir un código de verificación sin confirmar, por un canal oficial y verificado, que la solicitud es legítima.
Los mensajes fraudulentos documentados en la alerta suelen apelar a la urgencia —advertencias de pérdida inminente de datos— y guían a la víctima paso a paso dentro de los menús de configuración de la app, hasta el punto de pedirle que copie y pegue la clave de recuperación directamente en la conversación con el supuesto "soporte".
Qué hacer si ya ocurrió
Las agencias recomiendan reportar cualquier incidente de este tipo a través de:
- IC3 (Internet Crime Complaint Center)
- La oficina local del FBI
- CISA, mediante su sistema de reporte de incidentes o su centro de operaciones 24/7 (report@cisa.gov / 1-844-729-2472)
Este artículo resume y contextualiza el contenido de la alerta conjunta del FBI y CISA (I-062626-PSA), publicada el 26 de junio de 2026. Para el detalle técnico completo y las referencias a la alerta previa de marzo de 2026, consulte la fuente original en ic3.gov.
