La operación, confirmada por la Agencia General de Inteligencia y Seguridad (AIVD) y el Servicio de Inteligencia y Seguridad Militar (MIVD), tiene como objetivo principal a funcionarios gubernamentales, militares y periodistas, aunque también podría afectar a otras personas consideradas de interés para Moscú.
Según han explicado las autoridades neerlandesas, los atacantes intentan obtener códigos de verificación y PIN de seguridad de los usuarios mediante técnicas de ingeniería social. Una vez que consiguen esos datos, los ciberdelincuentes pueden tomar el control de la cuenta comprometida y acceder a los mensajes y conversaciones en las que participa la víctima.
La investigación ha confirmado que empleados del gobierno neerlandés se encuentran entre los objetivos y víctimas de la operación
Las autoridades de Países Bajos han descrito la operación como una campaña cibernética a gran escala que afecta a usuarios de distintos países. En este contexto, la investigación ha confirmado que empleados del gobierno neerlandés se encuentran entre los objetivos y víctimas de la operación. Asimismo, los servicios de inteligencia consideran que periodistas y otras figuras públicas también pueden estar en el punto de mira. El interés por estas aplicaciones radica en su uso habitual dentro de entornos profesionales sensibles, donde se emplean para compartir información relevante entre funcionarios o responsables políticos.
La popularidad de herramientas como Signal y WhatsApp dentro de organismos públicos se debe en gran medida a sus sistemas de cifrado de extremo a extremo, diseñados para proteger la privacidad de las comunicaciones. Sin embargo, las agencias de inteligencia alertan de que ese nivel de seguridad no evita ataques dirigidos contra cuentas individuales.
El director del servicio de inteligencia militar neerlandés, el vicealmirante Peter Reesink, advierte que “las aplicaciones de chat como Signal y WhatsApp, pese a contar con cifrado de extremo a extremo, no son canales adecuados para información clasificada, confidencial o sensible”.
El método más habitual identificado por los investigadores consiste en la suplantación de identidad. Los atacantes se hacen pasar por un supuesto chatbot de soporte técnico de Signal con el objetivo de persuadir a las víctimas para que faciliten sus códigos de verificación. De este modo, una vez que el usuario comparte ese código de seguridad, los hackers pueden registrar el número de teléfono en otro dispositivo y asumir el control completo de la cuenta. Desde ese momento, el atacante puede leer los mensajes recibidos y participar en las conversaciones del usuario sin que este lo perciba.
Además de esta técnica, los hackers también aprovechan la función de dispositivos vinculados que ofrecen estas aplicaciones. Esta herramienta permite utilizar la cuenta desde varios dispositivos, como ordenadores o tablets, mediante un proceso de sincronización. Sin embargo, los atacantes pueden utilizar esta característica para acceder remotamente a las conversaciones. Cuando el acceso se completa con éxito, los atacantes pueden monitorizar chats individuales y grupos completos, lo que aumenta el riesgo de exposición de información sensible.
Según destacan los servicios de inteligencia, la campaña no explota fallos técnicos en las aplicaciones, sino que, según explica la directora general de la AIVD, Simone Smit, la amenaza se dirige directamente contra los usuarios. “No se trata de que Signal o WhatsApp como aplicaciones hayan sido comprometidas. La amenaza está dirigida a las cuentas de usuarios individuales”, afirma Smit.
En consecuencia, el éxito del ataque depende en gran medida de la manipulación del usuario y no de vulnerabilidades en la infraestructura tecnológica de las plataformas.