Rusia usó SMS falsos de soporte técnico para robar cuentas de mensajería
Resumen rápido
Los servicios de inteligencia rusos orquestaron una campaña prolongada de smishing dirigida a funcionarios gubernamentales, militares, políticos y activistas en Ucrania, Europa y Estados Unidos. El objetivo era comprometer cuentas de aplicaciones de mensajería mediante mensajes fraudulentos que suplantaban servicios de soporte técnico. La operación fue destapada de forma conjunta por el Servicio de Seguridad de Ucrania (SSU) y el FBI.
Campaña de smishing atribuida a inteligencia rusa compromete cuentas de mensajería en varios países
Las agencias de seguridad de Ucrania y Estados Unidos han sacado a la luz una campaña de ciberespionaje sostenida en el tiempo, presuntamente ejecutada por servicios de inteligencia rusos. La operación se apoyaba en mensajes de texto fraudulentos —técnica conocida como smishing— diseñados para imitar comunicaciones legítimas de soporte técnico de plataformas de mensajería.
Perfil de las víctimas y alcance geográfico
Los objetivos no eran usuarios aleatorios: la campaña apuntaba de forma deliberada a personas con acceso a información sensible. Entre los perfiles identificados figuran funcionarios gubernamentales, personal de las fuerzas armadas, representantes políticos y activistas civiles ubicados en Ucrania, países europeos y Estados Unidos. Este patrón de selección sugiere una finalidad de inteligencia estratégica más que un beneficio económico inmediato.
Mecánica del ataque: ingeniería social vía SMS
Los atacantes enviaban mensajes de texto que aparentaban proceder de servicios de asistencia técnica de aplicaciones de mensajería populares. Estos SMS contenían instrucciones o enlaces orientados a inducir a las víctimas a entregar sus credenciales de acceso o a autorizar el inicio de sesión en sus cuentas desde dispositivos controlados por los actores maliciosos. La táctica explota la confianza que los usuarios depositan en las comunicaciones de soporte oficial, especialmente cuando se simulan situaciones de urgencia o advertencias de seguridad.
Atribución y contexto geopolítico
Tanto el SSU como el FBI señalan a los servicios de inteligencia rusos como responsables de la operación. El descubrimiento se produce en un contexto de actividad cibernética rusa sostenida contra infraestructuras y actores políticos occidentales, donde las campañas de robo de credenciales sobre canales de comunicación cifrada representan un vector cada vez más utilizado para eludir medidas de seguridad perimetrales más robustas.
Recomendaciones para organizaciones
- Concienciación ante smishing: ningún servicio legítimo solicita credenciales ni autorización de inicio de sesión mediante SMS no solicitado.
- Autenticación de doble factor resistente a phishing: considerar llaves de seguridad hardware (FIDO2) en lugar de códigos SMS para cuentas críticas.
- Revisión de sesiones activas: los usuarios deben comprobar periódicamente los dispositivos autorizados en sus aplicaciones de mensajería.
- Políticas de comunicación interna: establecer canales de soporte técnico verificables y comunicarlos claramente al personal.
¿Estás cubierto en DefensOps?
Aunque esta campaña no tiene un CVE asociado, el vector de ataque —robo de credenciales mediante ingeniería social— es detectable a través de comportamientos anómalos de autenticación y accesos desde ubicaciones o dispositivos inusuales.
El motor de correlación de DefensOps (disponible desde el plan Essential) permite detectar patrones sospechosos de inicio de sesión y alertar ante accesos que no se corresponden con el comportamiento habitual del usuario, incluso cuando no existe una firma de amenaza específica para el vector utilizado. La cobertura genérica por correlación es precisamente la primera línea de defensa ante campañas de este tipo, donde la táctica varía pero el objetivo —comprometer una cuenta— deja trazas consistentes en los registros de autenticación.
👉 Consulta nuestros planes y solicita una demo en la página de precios de DefensOps para saber cómo proteger las cuentas de tu organización frente a campañas de smishing y robo de credenciales.
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.