No es ningún secreto que, desde hace años, los servicios de inteligencia de todo el mundo tienen una nueva vía para recabar información: los servicios online, ya sean estos los de correo electrónico, mensajería instantánea, o almacenamiento en la nube. Y que su actividad no solamente se centra en los miembros del gobierno espiado de turno, sino que extiende sus tentáculos también a la empresa privada, empezando por aquellas del sector de la defensa, siguiendo por las que gestionan infraestructuras o servicios críticos, y terminando por todas aquellas cuya influencia en la economía, el desarrollo, e incluso el prestigio del país objetivo espiado, sea de su interés.
Por ello, no debe extrañarnos que el FBI estadounidense, conjuntamente con la CISA del mismo país, hayan emitido una alerta sobre la actividad de los servicios de inteligencia de Rusia con campañas de phishing en programas de mensajería instantánea y, más concretamente, Signal, una aplicación y servicio con fama de gran robustez en lo concerniente a su seguridad.
Y, ahora mismo, podrán preguntarse: a mí, como lector de Tecnonews ¿en qué me afecta esto? porque, a priori, va dirigido a oficiales gubernamentales y responsables de empresas estadounidenses. Pues simple: el método explicado, al ser ingeniería social (y, por lo tanto, que explota debilidades humanas), puede ser utilizado contra otras personas en otros países. Y nunca se saben los intereses que puede tener un servicio de inteligencia extranjero en la información privada de cada uno, algo que depende de factores como nuestro puesto de trabajo (responsabilidad y manejo de información sensible), así como nuestros lazos personales, tanto familiares como de amistad (con funcionarios, políticos o militares, por ejemplo).
Para terminar, el método detallado por el FBI y la CISA puede ser fácilmente aplicado por un grupo de ciberdelincuentes para robar, tanto a nivel de empresa como a ciudadanos privados, por lo que podemos usar este caso denunciado por las autoridades estadounidenses, como lección para aprender sobre los peligros que nos acechan.
Con un mensaje supuestamente procedente del servicio técnico
El modus operandi de los servicios secretos rusos en este caso consiste en enviar mensajes fraudulentos haciéndose pasar por cuentas de soporte técnico automatizado de las plataformas de comunicación para engañar a las víctimas y que realicen acciones concretas, como pulsar sobre un enlace, proporcionar códigos de verificación o facilitar el número de identificación personal de la cuenta.
Si el usuario accede a estas peticiones, otorga acceso no autorizado a los intrusos, ya sea mediante la vinculación de un nuevo dispositivo, o bien tomando el control del perfil. Además, se advierte que los responsables podrían emplear programas maliciosos para infectar a las víctimas a medida que la campaña evoluciona.
Según indica el comunicado conjunto del FBI y la CISA, esta actividad ha provocado el acceso no autorizado a miles de cuentas a nivel mundial. Una vez que la cuenta se ve comprometida, los atacantes adquieren la capacidad de visualizar los mensajes y las listas de contactos, así como de enviar nuevas comunicaciones y llevar a cabo más ataques contra otros usuarios.
Otro punto que nos interesa de este caso es que las agencias estadounidenses recalcan que los sistemas de cifrado y las propias aplicaciones no han sido vulnerados, sino que la suplantación de identidad mediante ingeniería social permite a los atacantes eludir las medidas de protección técnicas como el cifrado de extremo a extremo, al acceder directamente a los perfiles de los usuarios.
Ante esta situación, las autoridades instan a los usuarios a mantener la vigilancia y aplicar prácticas de higiene cibernética, como detener cualquier interacción y no compartir contraseñas ni códigos de autenticación de dos factores si se sospecha de un engaño. También aconseja tratar con recelo los mensajes inesperados de contactos desconocidos o las solicitudes inusuales de conocidos, procediendo a bloquear y denunciar dichos elementos.
En el caso de dudar sobre la legitimidad de un mensaje, es preferible contactar con el remitente a través de una vía de comunicación alternativa.
Por otro lado, resulta fundamental inspeccionar los enlaces y archivos antes de abrirlos para evitar la instalación de software malicioso. Los usuarios deben revisar periódicamente las listas de participantes en los chats grupales para detectar perfiles duplicados o falsos, verificando su autenticidad fuera de la aplicación. También se sugiere conocer las funciones de seguridad de la plataforma utilizada, como la activación de la eliminación automática de mensajes tras un período determinado, siempre que las políticas de retención de registros del empleador lo permitan en los dispositivos corporativos.
El comunicado también recuerda que el soporte técnico legítimo suele comunicarse a través del correo electrónico, y nunca solicita códigos de verificación mediante mensajes directos ni envía enlaces para restaurar cuentas. Finalmente, las agencias de seguridad recomiendan alertar rápidamente a los equipos de seguridad o departamentos de informática de las organizaciones en el caso de detectar intentos de fraude y, si se ha sido víctima de la campaña, se insta a presentar una denuncia a las autoridades.
Todos estos consejos son también aplicables en cualquier otro país aparte de los Estados Unidos.
