La Oficina Federal para la Protección de la Constitución (BfV) y la Oficina Federal para la Seguridad de la Información (BSI) de Alemania han emitido una advertencia conjunta sobre una campaña cibernética maliciosa llevada a cabo por un actor de amenazas probablemente patrocinado por un estado, que implica ataques de phishing a través de la aplicación de mensajería Signal.
“El foco está en objetivos de alto perfil en política, el ejército y la diplomacia, así como periodistas de investigación en Alemania y Europa”, señalaron las agencias. “El acceso no autorizado a cuentas de mensajería no solo permite acceder a comunicaciones privadas confidenciales, sino que también puede comprometer redes enteras”.
Un aspecto notable de la campaña es que no implica la distribución de malware ni la explotación de ninguna vulnerabilidad de seguridad en la plataforma de mensajería centrada en la privacidad. En cambio, el objetivo final es utilizar sus funciones legítimas para obtener acceso encubierto a los chats de la víctima, junto con sus listas de contactos.
La cadena de ataque es la siguiente: los actores de amenazas se hacen pasar por “Soporte de Signal” o un chatbot de soporte llamado “Signal Security ChatBot” para iniciar contacto directo con posibles objetivos, instándolos a proporcionar un PIN o código de verificación recibido por SMS, o enfrentar el riesgo de pérdida de datos.
Si la víctima cumple, los atacantes pueden registrar la cuenta y obtener acceso al perfil, configuración, contactos y lista de bloqueo de la víctima a través de un dispositivo y número de teléfono móvil bajo su control. Aunque el PIN robado no permite acceder a conversaciones pasadas, un actor de amenazas puede usarlo para capturar mensajes entrantes y enviar mensajes haciéndose pasar por la víctima.
Ese usuario objetivo, que para entonces ha perdido el acceso a su cuenta, recibe instrucciones del actor de amenazas disfrazado de chatbot de soporte para registrarse con una nueva cuenta.
También existe una secuencia de infección alternativa que aprovecha la opción de vinculación de dispositivos para engañar a las víctimas y hacer que escaneen un código QR, otorgando así a los atacantes acceso a la cuenta de la víctima, incluidos sus mensajes de los últimos 45 días, en un dispositivo controlado por ellos.
En este caso, sin embargo, los individuos objetivo continúan teniendo acceso a su cuenta, sin darse cuenta de que sus chats y listas de contactos ahora también están expuestos a los actores de amenazas.
Las autoridades de seguridad advirtieron que, si bien el enfoque actual de la campaña parece ser Signal, el ataque también puede extenderse a WhatsApp, ya que también incorpora funciones similares de vinculación de dispositivos y PIN como parte de la verificación en dos pasos.
“El acceso exitoso a cuentas de mensajería no solo permite ver comunicaciones individuales confidenciales, sino que también puede comprometer redes enteras a través de chats grupales”, señalaron BfV y BSI.
Si bien no se sabe quién está detrás de la actividad, ataques similares han sido orquestados por múltiples grupos de amenazas vinculados a Rusia, rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185), según informes de Microsoft y Google Threat Intelligence Group a principios del año pasado.
En diciembre de 2025, Gen Digital detalló otra campaña con el nombre en clave GhostPairing, donde los ciberdelincuentes recurrieron a la función de vinculación de dispositivos en WhatsApp para tomar el control de cuentas, probablemente para hacerse pasar por usuarios o cometer fraudes.
Para protegerse contra la amenaza, se recomienda a los usuarios que no interactúen con cuentas de soporte ni introduzcan su PIN de Signal como mensaje de texto. Una línea de defensa crucial es activar el Bloqueo de Registro, que evita que usuarios no autorizados registren un número de teléfono en otro dispositivo. También se recomienda revisar periódicamente la lista de dispositivos vinculados y eliminar cualquier dispositivo desconocido.
La noticia llega cuando el gobierno noruego acusó a grupos de hackers respaldados por China, incluido Salt Typhoon, de irrumpir en varias organizaciones del país explotando dispositivos de red vulnerables, al tiempo que criticó a Rusia por monitorear de cerca objetivos militares y actividades aliadas, e Irán por vigilar a disidentes.
El Servicio de Seguridad Policial de Noruega (PST) declaró que los servicios de inteligencia chinos intentan reclutar ciudadanos noruegos para obtener acceso a datos clasificados, y señaló que luego se anima a estas fuentes a establecer sus propias redes de “fuentes humanas” publicando empleos a tiempo parcial en tablones de anuncios o contactándolos a través de LinkedIn.
La agencia advirtió además que China está explotando “sistemáticamente” los esfuerzos colaborativos de investigación y desarrollo para fortalecer sus propias capacidades de seguridad e inteligencia. Cabe señalar que la ley china exige que las vulnerabilidades de software identificadas por investigadores chinos se informen a las autoridades a más tardar dos días después del descubrimiento.
“Los actores de amenazas iraníes comprometen cuentas de correo electrónico, perfiles de redes sociales y computadoras privadas pertenecientes a disidentes para recopilar información sobre ellos y sus redes”, dijo el PST. “Estos actores tienen capacidades avanzadas y continuarán desarrollando sus métodos para llevar a cabo operaciones cada vez más dirigidas e intrusivas contra individuos en Noruega”.
Las revelaciones también siguen a un aviso de CERT Polska, que evaluó que un grupo de hackers ruso patrocinado por el estado llamado Static Tundra probablemente está detrás de ataques cibernéticos coordinados dirigidos a más de 30 parques eólicos y fotovoltaicos, una empresa privada del sector manufacturero y una gran planta de cogeneración (CHP) que suministra calor a casi medio millón de clientes en el país.
“En cada instalación afectada, había un dispositivo FortiGate que funcionaba como concentrador VPN y firewall”, dijo. “En todos los casos, la interfaz VPN estaba expuesta a internet y permitía la autenticación en cuentas definidas en la configuración sin autenticación multifactor”.
